在中國甚麼都有可能是假的:XcodeGhost

正所謂:「在中國甚麼都有可能是假的。」

在大陸,甚麼假訊息假電話已經司空見慣,假software假apps亦隨處亦可見(很多來歷不明的破解版)。
豈料,最近去到一個程度:連Xcode 竟然都可以是假的。

這個黑客真的很高明,以開發者的公具入手,一個槓桿原理,就影響了過億名用戶。而這樣的一個感染方式,是用戶無可避免的-因為是在AppStore裏下載的程式也會受到影響。甚至連Apple也不以為然有這樣的一個入侵模式。

簡單來說,Xcode 是Apple 官方釋出讓開發者編寫iOS 和OSX 應用程式的開發軟件。
基本上整個開發流程,包括:初始化、編寫程式邏輯、使用者界面、編譯代碼、簽署、軟件發佈都可以一一在XCode裏完成。

以往的入侵方式:

1) 開發商 ----[App]-- Appstore
2) Appstore ----[App] --- 入侵者
3) 入侵者---- [有問題的App] --- 發佈到 Forum / 非官方平台
4) Forum / 非官方平台 ---- [有問題的App] ---- 用戶
5) 用戶 ----[資料]---- 入侵者

>:)

而這次被稱為XCodeGhost的入侵,則是採用完全不同切入位置,也是為甚麼能一次過影響到龐大用戶的根本原因。

好啦,問題來了:

正式版Xcode可以在甚麼地方下載到呢?

答案是Apple Developer的官方網站。

問題二:

那為甚麼會有開發者在非官方的平台下載XCode呢?

提示,以下有大約1000個受影響的Apps的清單,請找出共通之處:

(節錄)
网易云音乐 2.8.3
微信 6.2.5
讯飞输入法 5.1.1463
滴滴出行 4.0.0.6-4.0.0.0
滴滴打车 3.9.7.1 – 3.9.7
铁路12306 4.5
下厨房 4.3.2
51卡保险箱 5.0.1
中信银行动卡空间 3.3.12
中国联通手机营业厅 3.2
高德地图 7.3.8
简书 2.9.1
开眼 1.8.0
Lifesmart 1.0.44
网易公开课 4.2.8
马拉马拉 1.1.0
药给力 1.12.1
喜马拉雅 4.3.8
口袋记账 1.6.0
同花顺 9.60.01
快速问医生 7.73
懒人周末
微博相机
豆瓣阅读

相信不言而喻了。

由於「其他國家」連接Apple 官方網站的網絡經常性不穩定,以致不少「其他國家」的開發者要下載XCode時苦不堪言。
這時,在各大Forum上的及時雨就出現了:把Xcode 上載到百度雲上,倚仗內聯網的秒速,造福大眾。

以下就是中招方式:

1) Apple --- [Xcode] --入侵者
2) 入侵者---- [有問題的Xcode] --- 發佈到 Forum / 非官方平台
3) Forum / 非官方平台 ----- [有問題的Xcode] -- 開發商
4) 開發商 ----[有問題的App]-- Appstore
5) Appstore ----[有問題的App] --- 入侵者
6) 用戶 ----[資料]---- 入侵者

well,用戶其實真的沒甚麼可以防禦的法子。

但其實開發者方面是可以著手預防的:
1) 下載官方的XCode (其他國家就RIP了)
2) 如必要在Forum / 非官方平台下載,冒必要檢查Checksum
(利申:其實上次同事Air Drop 給我XCode時,我也懶得去Checksum)

總結一下網民認為幾個應當批評的單位:
一,是開發商不在官方下載Xcode;
二,是蘋果監管不足令這些程式成功上架、以及未有為「其他國家」提供穩定連接;
三,「其他國家」的防火牆和網絡生態。

到這裡,試想想若果連AppStore的生態在Apple相當謹慎的監察下也讓入侵者有機可乘;Android方面(特別是Google官網受到絕對封鎖)的情況應該嚴重萬倍。

現時網絡界主要引領技術的網站:包括Apple、Google、Facebook、Twitter、Github等,相對受到不同程度的封鎖,作為使用者很用易便找到替代品(人人、微博、微信等),但是在開發者角度去看,查找官方Documentation和參考討論方面也大受限制。

這幾年間,以上的機構就已經推行了不少嶄新的技術:AngularJS、Polymer、GoLang、ReactJS、Flux等等,以及不少在Github上的開源項目。
這樣的一個「封國」,令國民接觸最新科技的機會大大受阻,就如明朝「海禁」一樣,令整個民族固步自封。

當然,除了窒礙發展外,也促使如XCodeGhost般附合國情的危機發生(然後可以大大聲鬧Apple監管不力)。
網絡生態如此病態,更別妄想發展一個甚麼共同進步開源社群了。

後記

XCodeGhost 的原代碼 (以及作者聲明)
https://github.com/XcodeGhostSource/XcodeGhost

就這樣結案了啊?!

comments powered by Disqus