非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码

回头看了下水果机, MAS 里更新 xcode 保持在"安装 - 不到一分钟"已经快二十分钟了.......

顶一下吧 还是从官方下安全= =

@mornlight 那可不一定，百度是個很大的組織，你能保證李彥宏沒有這個想法，不能保證下面的沒有。

说这个新闻的 就是没开发过 iOS 没用过 xcode

@robertlyc why?

从来不从非官方渠道下东西的 想说一句：“我就说吧！”

@fo2w 因爲他以爲是打包後再注入到二進制文件裏面，這樣會使打包後的校驗失敗，成爲無效應用。但是他也應該不懂編譯語言寫的程序是如何從源程序變成可執行二進制文件的。 sigh...

@ljbha007 我也都是從官方下載的，但是剛剛去 AppStore 的評論區黑了一發百度和迅雷。（逃……

@wezzard 唉...

$ codesign -v /Applications/iTunes.app

================================
$ codesign -v /Applications/Xcode.app
/Applications/Xcode.app: a sealed resource is missing or invalid

无论如何都要官方下载，当然，也无法避免 HTTP 地址被劫持成 TX 管家...

@laoyur 你可以和官方的版本对比一下 SHA-1 值看看，官方的我写在这里了 https://github.com/iBcker/adcdownload

mdf5 的重要性体现了

Xcode 官方下的那么快，没必要去网盘之类的单独下吧

@JackBlack2006 要是这么容易就能劫持还需要越狱干啥？没越狱 iOS 会检测应用的数字签名的。

其实我是不太信这个消息的

@mornlight
iMac:Desktop xxx$ shasum Xcode_6.4.dmg
a836d8fa0fce198e061b7b38b826178b44c053a8 Xcode_6.4.dmg

跟官方的果然不同
SHA-1:672e3dcb7727fc6db071e5a8528b70aa03900bb0

@laoyur repo 里放的 hash 值是我自己从官方下载好后再算的，应该不会有问题。晚上有空了我把你提到的那个百度盘分享都弄下来看看

@dndx 我说的是劫持 Xcode dmg 和 OS X dmg ，还有升级时候下载的 pkg 这些

@robertlyc
@dndx
@missdeer
我也不太相信这个消息，但是这么做确实是可行的。
在编译代码时，多链接两个文件就就可以了，随便搞个 Xcode 插件都能办到。