苹果致信开发者要求验证 Xcode 版本

下一篇文章

一颗要价 750 美元的药丸,和一个不知道在 Twitter 上闭嘴的创始人 

 

近日媒体透露, 中国大陆区 App Store 部分应用感染恶意软件 ,起因是数个应用开发者在开发过程中使用了苹果 iOS 开发者软件 Xcode 的非官方版本。今天苹果敦促移动开发者们确认其 Xcode 安装版本。苹果公司今天通过电子邮件和 官网声明 向开发者建议:应该只使用从 Mac App Store 和苹果开发者网站直接下载的 Xcode 软件。

该声明阐述了整个 App Store 恶意软件事件的起因:中国的应用开发者,其中包括数款诸如“微信”、“滴滴快的”(Uber 竞争者)、商业名片扫描应用 名片全能王等知名应用开发者,绕过苹果的 Gatekeeper 工具,转而安装使用了一个非官方版本。

不过,他们这么做并非是因为不重视安全问题,而是当他们在墙内从美国服务器上下载文件体积巨大的 Xcode 速度很慢,需要耗费大量时间。于是开发者们经常转向国内的云存储网站,诸如百度(非官方版本的 Xcode 就存储在其服务器上),以节省下载时间。

网络安全公司 Lookout 建议,中国用户或者从中国区 App Store 下载应用的其它用户,应该立刻检测并升级手机中受影响的应用(关于本次已经确认感染恶意软件的应用,点此查看完整清单)。

如果你的手机上安装了其中的应用,你应该立即修改你的 Apple ID 密码。然后如果将来你收到可疑邮件或是推送的信息,尤其是那些索取个人信息的要求,一定要保持警惕。

恶意软件会讲你的个人信息(包括设备名称、国家、设备唯一识别码、固件信息等)发送出去。帕罗·奥图网络公司最先发布了关于“XcodeGhost”的细节,表示该软件有可能会在手机上推送对话框给用户、以索取用户的个人信息。

不过,苹果的菲尔·席勒(Phil Schiller)向中国新浪网透露,目前苹果并未知悉受感染应用发送用户数据的情况。

苹果 在官网 向开发者说明了如何验证 Xcode 版本信息:

你应该从 Mac App Store 和苹果开发者网站直接下载 Xcode 软件,并且保持 Gatekeeper 功能开启,以保证你的整个系统不受恶意软件侵害。

当你从 Mac App Store 下载 Xcode 时,OS X 会自动检验 Xcode 的数字签名。当你从苹果开发者网站下载 Xcode 时,数字签名也会被自动监测,只要你保持 Gatekeeper 开启。

无论你是从苹果方面还是从其它源头(诸如 USB、雷电硬盘、或是本地网络)下载 Xcode,你都可以轻松验证 Xcode 是否完整。

验证 Xcode 版本,需要开启 Gatekeeper 开启,并在“终端”中运行如下命令:

spctl –assess –verbose /Applications/Xcode.app

/Applications/ 是 Xcode 的安装目录。该命令可以执行与 Gatekeeper 相似的数字签名验证功能。不过该工具还能在几分钟内检查 Xcode 的完整代码。

如果你的 Xcode 是从 Mac App Store 下载,终端会给出如下结果:

/Applications/Xcode.app: accepted

source=Mac App Store

如果你的 Xcode 是从苹果开发者网站下载,那么终端会给出如下信息:

/Applications/Xcode.app: accepted

source=Apple

/Applications/Xcode.app: accepted

source=Apple System

如果没有显示“accepted”或者“Mac App Store”、“Apple System”或“Apple”等字样,那么说明你的 Xcode 并没有有效的签名。你应该在将应用提交审核之前,从上述官方渠道下载官方版本的 Xcode,然后进行编译。

翻译: 魚生臣

Apple Asks Developers To Verify Their Version Of Xcode Following Malware Attack On Chinese App Store