如何看待此次XCodeGhost代碼導致大面積Apple App中毒事件?


1.XcodeGhost 事件是什麼?

源於9月18日烏雲網公布的一則分析報告:XCode編譯器里有鬼 – XCodeGhost樣本分析,這份純粹的技術分析報告引爆中國iOS生態鏈的眾多開發者。

根據報告,這個被做手腳的XCode編譯器,會偷偷訪問某個網址,偷偷上傳軟體包名、應用名、系統版本、語言、國家等基本信息。

最初,開發者判斷這些數據的收集只是令相關軟體出現隱私問題,但這些數據的收集後果並不太嚴重。但更細心的開發者判斷,這些做手腳的編譯器,還可能在iPhone/iPad上彈出釣魚網站頁面,可能騙取iCloud帳號密碼,或者其他關鍵信息。

2.哪些APP受影響?

據分析,受XCodeGhost事件影響的APP可能有30多款,包括網易雲音樂、網易公開課、我叫MT、同花順、南京銀行、南方航空、中信銀行行動卡空間、名片全能王、憤怒的小鳥2等等比較熟知的應用。

安裝這些應用的iPhone/iPad用戶可能受到信息泄露的影響。

3.這意味著什麼?蘋果不再安全了嗎?

以往人們普遍認為,只要不越獄,只從官方應用市場下載軟體,iPhone/iPad就是安全的。現在,這個神話破滅了。開發工具中做手腳 ,可能騙過那些聰明的程序員,在編譯自己的應用時,把有害代碼加進去,威脅用戶數據安全。

4.iPhone/iPad需要安全軟體嗎?

總的來說,iPhone/iPad不越獄的風險仍然可控,儘管這次蘋果的安全審查未能檢測到威脅。用戶仍然只能從官方市場下載應用,比隨處可以下載安裝軟體到手機上還是強多了。

另外,需要提醒蘋果用戶注意的是,並不是手機不中毒就安全,目前大量安全事件其實並非手機端的病毒製造的,信息泄露和網路欺詐幾乎無處不在,提高安全意識才是防範風險最有用的手段。而這些,顯然不能僅僅依靠手機端的安全軟體來解決。

5.從哪些地方防範?

再次建議iPhone/iPad用戶不要越獄,只從官方市場下載軟體。當有人試圖套取你的iCloud帳戶密碼或者其他重要帳戶密碼、手機驗證碼時,必須謹慎對待。

為確保安全,用戶也可以選擇暫時卸載那些受影響軟體。保險起見,修改iCloud帳戶密碼。再次強烈建議開通iCloud雙重驗證,方法可參考百度經驗的技術文章:iCloud遭入侵 如何讓你的iCloud賬號更加安全

6.疑似作者道歉了,公開了源碼,他說的是真的嗎?

#XcodeGhost#始作俑者@XcodeGhost-Author 向公眾致歉,稱這是一個「實驗」、「並未製造威脅性行為」,並上傳源碼供研究人員分析,業內人士從源碼判斷「可信度較高」。

7.有人說需要iCloud需要改密碼,信用卡需要註銷,12306也要改密碼。

目前,該事件並未上升到草木皆兵的地步,iCloud帳戶及其他重要帳號,建議網友開通雙重驗證(即除了用戶名密碼驗證,再開通其他方式比如手機驗證碼驗證動態密碼)。安全專家總在反覆強調不要重複使用密碼,不要使用過於簡單的密碼,這些都是非常重要的建議。

當安全事件到來時,有所準備的網友受到傷害的可能性最低。

8.針對xcode程序員的安全建議是什麼?

程序員試用xcode非官方版本,可能有兩個原因:官方渠道下載緩慢,或者開發者使用了黑蘋果(盜版蘋果系統)開發。

這件事給程序員敲響警鐘,要安全,首先得保證自己的開發工具安全。程序員被黑客暗算的事兒曾經多次發生,無論如何,建議使用正版、未被非法篡改過的開發工具編寫程序,避免你的用戶成為受害者。

9.對蘋果的安全策略會造成什麼影響,蘋果會不會向安全軟體開放更多許可權

顯然,蘋果會修補這次安全事件造成的影響,安全審查會變得更嚴格。判斷蘋果不會為某些軟體(比如安全軟體)更多許可權。

10.為什麼蘋果沒能阻止這次攻擊

安全是動態的過程,今天認為安全的保護措施,可能在未來某個時刻被新的攻擊方法突破,或者總有漏洞被黑客發現。一個完全不會被攻克的系統,只能是神話。


雖然疑似作者發聲明了

但也只是可信度較高。。

這件事情的意義更多是給Apple、APP廠商、開發者敲響了警鐘,至於用戶那就不用說了,安全事件都會涉及用戶,老生常談了

首先,開發者的安全意識需要提高,並非是說要去鑽研編譯器知識,而是說要對安全開發保持一定的熱度,有一定了解,類似的事情有可行的解決方案。其實,這個事件中也能看出來開發規範的重要性。

其次,廠商的自上而下的管理很重要,開發過程中往往會由於時間要求把代碼變成一坨翔,為了追求速度。這個不光光會影響安全性,對代碼未來維護、擴展都是大阻礙。從管理的角度給開發人員施加約束來促進必要的規範的嚴格執行。

最後,iOS的安全性還是像之前說的那樣嗎?這個Apple得深思了。這次事件涉及面很廣,但是這麼多APP都繞過了Apple的代碼審查。。。這是什麼鬼??Xcode本身安全性怎麼樣??這個我也不知道,不知道Apple知不知道。

思維再發散一下,其他平台十有八九也有類似問題。。。準備用回那種只能發簡訊、打電話的復古手機了。。有事call我。。。


推薦閱讀:

Macbook pro 8GB內存 製作視頻夠用嗎?
Angela Ahrendts 可能給蘋果 Apple Store 帶來哪些新變化?
買了ios正版,然後心安理得的玩pc安卓盜版的想法是正確的嗎?
蘋果旗艦店的logo燈箱是什麼技術?為什麼光源這麼均勻
有什麼在 Mac 上好用的類似 iTunes 的管理手機的免費軟體?

TAG:AppleStore | 網路安全 | 應用程序Application | 計算機病毒 | XcodeGhost |