非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码

何必呢...no zuo no die

下面贴的微博的链接又是什么鬼？

@likuku 来源，在微博上看到的，不知道怎么贴单条微博的链接。

无奇不有

靠吃毒鼠强证明人体之脆弱？

就像 GHOST 版的系统，里面大有文章。

这倒是带来一个较大的问题：运营商劫持下载。

运营商的那个机制又不会检查文件 MD5 SHA-1 。如果运营商自己的缓存里面是一个被恶意修改过的文件，劫持 MAS 下载以后……

很合理啊~

不知道是啥知名 app 中招。。

@JackBlack2006 MAS 是 https ，不过这并不重要，重要的是 iOS app 的安装和开始运行的时候都会去检查应用包的签名，确认包完整且没有被修改过才会安装和运行。

即使是越狱了，这个机制仍然在。不过，如果用户越狱是为了装盗版应用，那么多半他会再装一个补丁把上面的签名检查机制禁用掉。那就只能听天由命了。

@ieuYao 微博 /twitter 你点击信息页的时间戳，那个就是单条的链接。

@dorentus so,盆油经验就是不仅要全程 https ，自己发布的 app 里也得把客户端 ssl 证书加进去，以免被中间人攻击所替换掉。

这么牛，下次直接修改掉编译器，没有办法躲了吧。

消息来源是以为唱吧的 iOS 技术： http://weibo.com/2js3
其中提到"非官方下载渠道"是百度盘之类的地方。

@likuku 原来这样， thx ！

“检测方式是恶意 Xcode 包含有如下文件 /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService 正常的 Xcode 的 SDK 目录下没有 Library 目录”

——我擦，我的 XCode 中招了，我就是从百度盘中下载的
以后得当心了

@laoyur 哪个版本？

@mornlight Version 6.4 (6E35b )
百度盘下的， 好像是这个 http://pan.baidu.com/s/1eQgu6eY

那么问题来了，这是百度修改的还是别人改了传上去的？

@JackBlack2006 百度不会干这种无聊的事，应该是别有用心的人改了传上去的。