XcodeGhost報告中提到使用官方地址去迅雷下載也中招，如何安全而快速的下載官方二進位文件？

01-27

XCode編譯器里有鬼
去百度雲盤下載的不管，但是報告中提到官方地址去迅雷下載得到的也中招了，這是迅雷的缺陷還是操作上的問題？以後還能信任迅雷等下載工具么？
另一方面，蘋果Dev Center並沒有提供dmg的SHA1等信息，如何得知下載的正確性？
不要說去Mac Store下載，因為開發工具肯定有beta的，需要提早為iOS新版做準備。正式版Xcode都是對應版本的iOS發布之後才會上Store

我試了一下文中提供的http://adcdownload.apple.com/Developer_Tools/Xcode_7/Xcode_7.dmg這個地址，用迅雷下載完之後，SHA1值跟文章作者提供的正確值是一樣的。

原文評論中也有人表示迅雷下載的文件並無問題。

文章開頭提到了Xcode6.4可能有問題，我也測試了一下，跟正確值一致。

目前並未看到第二人反映迅雷下載的Xcode有問題，我覺得迅雷應該是躺槍了。。。

2015-09-19 01:00:12更新：

我們查到SHA1值為「a836d8fa0fce198e061b7b38b826178b44c053a8」這個被篡改的Xcode6.4文件，最早是從百度網盤添加到離線下載當中的，也就是說用戶最早是在百度網盤上看到這個文件，然後使用離線下載創建了任務來下這個文件而已。該文件連文件大小都比官方版本大6.97MB。肯定不可能是用迅雷下載官方鏈接時下錯的。

2015-09-19 17:09:50更新：

烏雲網原文《XCode編譯器里有鬼 – XCodeGhost樣本分析》當中，文章作者引用微博中「誰敢亂說話」的留言「還是不能相信迅雷，我是把官網上的下載URL複製到迅雷里下載的，還是中招了」。目前「誰敢亂說話」已經發布澄清《我澄清一下，複製官方的URL到迅雷里下載沒有問題，我記錯了》

更新：請看迅雷公司員工楊竟的評論和回答，我不應該把這鍋砸到迅雷頭上，抱歉！ http://www.zhihu.com/question/35721299/answer/64245291

1、Xcode 的下載地址需要 Apple ID 才能訪問。

2、所以迅雷能下載=先向迅雷伺服器查詢鏡像信息再下載，下載的一定是鏡像。

3、鏡像可以被偽造，比如說我可以自搭一個伺服器用hosts或者dnsmasq等類似手段強制解析到我的IP，我自己開始下載，然後我就成了帶毒文件的傳播者。之前就有人感染過盜版 Windows Server 2003 Enterprise 的迅雷下載鏈接。

順便說下，這種在IDE里做手腳的病毒以前就有，Delphi夢魘。

看我7月3日用蘋果官方地址從迅雷離線下載的 Xcode 6.4，SHA1和官方下載的並沒有不同。

迅雷伺服器未受感染！

以下是迅雷公司的聲明：

各位媒體朋友和迅雷用戶:

對於今天爆出的Xcode被植入惡意代碼一事，我們注意到有猜測稱，迅雷伺服器受到感染，導致使用迅雷會下載到含有惡意代碼的Xcode。

迅雷第一時間安排工程師進行檢測。工程師測試了烏雲網原文中提到的Xcode6.4和7.0兩個版本的下載，檢查了索引伺服器中的文件校驗信息，並對比了離線伺服器上的文件，結果都與蘋果官方下載地址的文件信息一致。也就是說，官方鏈接的Xcode經迅雷下載不會被植入惡意代碼。

感謝大家對迅雷的支持，請大家放心使用迅雷!

官方也給了聲明，證明了迅雷伺服器未受感染！我相信迅雷還是很關心用戶體驗的，作為用了這麼多年迅雷的老用戶，我對迅雷還是很有信心的！以下是官方聲明得原文：

各位媒體朋友和迅雷用戶:

對於今天爆出的Xcode被植入惡意代碼一事，我們注意到有猜測稱，迅雷伺服器受到感染，導致使用迅雷會下載到含有惡意代碼的Xcode。

感謝大家對迅雷的支持，請大家放心使用迅雷!

都閃開，官方闢謠來了

官方鏈接的Xcode經迅雷下載不會被植入惡意代碼

用IDM下

迅雷就是流氓，完全不負責。

我記得去年Windows 8.1的某個版本也是用迅雷下載死活SHA1對不上。