前段时间闹得沸沸扬扬的xcode事件,迅雷也成了躺枪的一份子——有网友反映即使是从原始地址下载xcode,最终也中了病毒。
今天我也遇到了这个棘手的问题。
晚上欲从jetbrains官网下载前端开发IDE——WebStorm:https://www.jetbrains.com/webstorm/download/download_thanks.jsp?os=mac
获取到https下的直接地址为:https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg
因为家里网不好,所以我特地购买了迅雷VIP,使用迅雷离线+特殊通道加速下载:
因为xcode事件,正好我下的软件也是开发用的,所以我谨慎地对刚下载的WebStorm-10.0.4.dmg进行了sha256检查:
如题,检查了两遍,发现结果是db3ea8555767465b4febf950ebed5d7ef83a634250a1c4f121e9bbe88ba9a687
这是其sha256的hash值。(我事后用https的链接+迅雷VIP下载了至少3次,得到的哈希都是db3ea8,说明不是偶然BUG导致)
而令我恐惧的是,官网上给出的sha256值却是:
https://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg.sha256
是截然不同的 0e444910001fc74b401c3b12738abedb823cc8064af53a304ce8e8c4d9d0ca6a !
我害怕官网给的值不准确或者是老版本的,我在日本vps(用vps下是因为速度较快,理论上不影响测试结果)上用同一个链接wget下载了WebStorm:
结果却和官网一样。
我开始慌了。
我在本地又测试了用http的下载链接 http://download.jetbrains.com/webstorm/WebStorm-10.0.4.dmg 下载了一次WebStorm,这一次hash的值正确无误了:
那么https地址下载的链接究竟为何是错误的?不知道。
万幸的是,我觉得这次事件可能与安全无关。因为我下载的错误的dmg是运行不了,所以可能不是被人替换了安装文件,而是别的什么原因造成了文件的错乱与错误。
但此次下载的dmg无法运行,不代表下一次,下两次,下一百次下载的dmg无法运行、不被别有用心的替换。
再就是,无法运行原本就是一个巨大的BUG,为何我好不容易下载的软件无法运行?如果我不使用迅雷下载,是否下载的就可以运行了?迅雷难道没有检查文件完整性、安全性的方法?
用正确的链接下载了一个错误的文件,原本就是一个可怕的东西,因为用户并不知道自己下载的文件是什么,也许是一个木马呢?
这个事情给我们提了个醒,迅雷下的东西很可能并不是我最初要求他下的东西。也警示我们在用此类三方下载工具的时候,多检查下载的东西是否被替换过了,检查方法就是计算哈希。
