北京時(shí)間9月21日上午,蘋果首次對(duì)最近鬧得沸沸揚(yáng)揚(yáng)的“XcodeGhost木馬事件”做出正式回應(yīng)。
蘋果方面表示:“Apple極其重視安全;iOS設(shè)計(jì)的出發(fā)點(diǎn)就是可靠性和安全性。我們?yōu)殚_發(fā)者提供業(yè)界最先進(jìn)的工具創(chuàng)造絕佳的App。基于非信任渠道發(fā)布的這些工具中的一個(gè)錯(cuò)誤版本開發(fā)的App有可能對(duì)用戶安全造成威脅。為了保護(hù)用戶,我們已經(jīng)將由該錯(cuò)誤軟件開發(fā)的App從App Store撤下,并正與開發(fā)者共同努力確保使用正確版本的Xcode重建他們的App。”
9月17日之后的那個(gè)周末,蘋果在中國(guó)爆發(fā)了有史以來最大的安全危機(jī)。因?yàn)閕OS應(yīng)用開發(fā)者們的開發(fā)工具“中毒”,大量用戶常用的知名應(yīng)用被曝光感染木馬。
根據(jù)目前公開的信息,這個(gè)名為XcodeGhost的木馬能獲取用戶的各種基本信息,包括應(yīng)用名、應(yīng)用版本號(hào)、系統(tǒng)版本號(hào)、語言、國(guó)家名、開發(fā)者符號(hào)、App安裝時(shí)間、設(shè)別名稱和設(shè)備類型等。
看起來這些信息都非常“基礎(chǔ)”,而且到目前為止,并沒有爆出有用戶因?yàn)檫@個(gè)漏洞蒙受損失。
但也許危機(jī)不止于此。
騰訊安全應(yīng)急響應(yīng)中心9月19日發(fā)布了一篇文章全面分析了XcodeGhost病毒的作用和可能的危害。這篇文章指出,這個(gè)木馬不僅能夠在受感染的iPhone中完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機(jī)行為,甚至還能遠(yuǎn)程彈窗騙取用戶更多信息。
“這應(yīng)當(dāng)是App Store自2008年上線以來遭受的規(guī)模最大的攻擊,涉及應(yīng)用之廣已經(jīng)完全超過想象,若非發(fā)現(xiàn)及時(shí),此病毒再增加更豐富的機(jī)能(如對(duì)密碼輸入框進(jìn)行hook等)之后,可能成為中國(guó)歷史甚至世界歷史上涉案金額最高的黑客事件之一。”知乎上一個(gè)名為yang leonier的用戶評(píng)論。
誰該對(duì)此負(fù)責(zé)?主要責(zé)任肯定是那些使用非官方開發(fā)工具的應(yīng)用開發(fā)者。
此次木馬“殺傷面”如此之廣,是因?yàn)榇罅块_發(fā)者使用的“工具”Xcode出了問題。
開發(fā)iOS應(yīng)用,有一款開發(fā)工具必不可少,就是蘋果自家出的Xcode——它負(fù)責(zé)把源代碼編譯為可執(zhí)行的應(yīng)用,開發(fā)者才能把應(yīng)用上傳到蘋果應(yīng)用商店后臺(tái),經(jīng)過蘋果官方審核后,在應(yīng)用商店App Store上架,正式開放下載。
按常理來說,開發(fā)者們都應(yīng)該去蘋果的官方地址下載Xcode。但現(xiàn)實(shí)情況是,出問題的應(yīng)用開發(fā)者們都是使用的第三方渠道下載的Xcode編譯軟件。
其中一點(diǎn)理由是,第三方編譯器比官方網(wǎng)站的功能更為豐富,這些功能都是民間編碼高手自行開發(fā)出來的,開發(fā)者用這種第三方編譯器更為方便。
“程序員使用第三方編譯器,就像一個(gè)人造汽車,他選擇去外面購(gòu)買輪胎,而不是自己造一個(gè)輪胎。”賽門鐵克一名從事網(wǎng)絡(luò)安全的軟件工程師這樣解釋軟件程序員使用第三方編譯器,即一些標(biāo)準(zhǔn)化的工作交給工具來完成。
但是更多的中國(guó)開發(fā)者使用Xcode是因?yàn)橐粋(gè)更為簡(jiǎn)單的理由,圖下載方便。
“這個(gè)工具有2G多,國(guó)內(nèi)的網(wǎng)絡(luò)由于一些原因,和蘋果服務(wù)器連接非常困難,十多分鐘就要斷一次。”有開發(fā)者向界面新聞表示,所以從第三方渠道下載成為很多程序員圖方便的選擇。
“基本上我身邊所有的開發(fā)者都不會(huì)使用官方的,而去一些論壇或者百度網(wǎng)盤之類的第三方網(wǎng)站下載這個(gè)編譯器。”國(guó)內(nèi)一家安全廠商的員工告訴界面新聞?dòng)浾摺?/p>
但這次XcodeGhost危機(jī)卻實(shí)實(shí)在在給這些開發(fā)者們上了一課,即使官方版開發(fā)工具下載再怎么不方便,也不能不經(jīng)校驗(yàn)就直接使用未知渠道的Xcode。
當(dāng)然,蘋果也應(yīng)該做出改進(jìn)。
第一批在微博上曝光XcodeGhost漏洞的iOS開發(fā)工程師唐巧認(rèn)為,既然中國(guó)已經(jīng)成為蘋果最大的海外市場(chǎng),蘋果應(yīng)當(dāng)在中國(guó)多部署幾個(gè)服務(wù)器,能夠減少程序員在第三方下載編譯器的幾率。
另外,即使開發(fā)者層面出了問題,蘋果的應(yīng)用審查機(jī)制應(yīng)該有能力,而且也有責(zé)任查出帶有木馬的應(yīng)用。
“我們大部分同事都認(rèn)為蘋果對(duì)此事件負(fù)有責(zé)任,在上架審查的時(shí)候不夠嚴(yán)格。”前述國(guó)內(nèi)安全廠商人士認(rèn)為,此次木馬程序應(yīng)該就是抓住了蘋果審核比較薄弱的環(huán)節(jié)或者說他們審核的漏洞,也有可能蘋果對(duì)于來自騰訊、網(wǎng)易這樣大團(tuán)隊(duì)制作的應(yīng)用審核更為松懈,因?yàn)橛行庞迷凇?/p>
但也有持有相反意見的,認(rèn)為蘋果并不需要為此次事件負(fù)責(zé)。
“實(shí)際上這件事情跟蘋果沒有太大的關(guān)系,審查有個(gè)度,需要在‘安全性’和‘可用性’之間做一些平衡。”賽門鐵克一位員工向界面新聞表示,蘋果安全審查相對(duì)來說較為嚴(yán)格,雖然出現(xiàn)了漏洞,但如果過于嚴(yán)格,應(yīng)用上架審查流程過于復(fù)雜,可能會(huì)造成市場(chǎng)上應(yīng)用缺乏的狀況,也難以和競(jìng)爭(zhēng)對(duì)手抗衡。
就在9月19日凌晨,在新浪微博上,一個(gè)名為“XcodeGhost-Author”的作者發(fā)布聲明稱,此次事件源于自己的實(shí)驗(yàn),沒有任何威脅性行為。同時(shí),他還公布了源代碼,證明自己是插件的作者。人們無法證實(shí)該作者就是此次事件的始作俑者,而且事件的危害也許并不能像這位作者掩飾的一樣輕描淡寫。
更重要的是,怎么預(yù)防下一次攻擊?
一直以來,蘋果系統(tǒng)爆發(fā)的安全事件較少,被認(rèn)為十分安全,而此次惡意程序事件表明,“沒有絕對(duì)安全的系統(tǒng)。”
賽門鐵克工作人員表示,“也不能說此次攻擊者就格外高明,安全事件的發(fā)生只是概率問題。”實(shí)際上針對(duì)蘋果系統(tǒng)的攻擊時(shí)時(shí)刻刻都在發(fā)生,而一段惡意代碼能夠成功植入,逃過第三方審查,也逃過了程序員審查,并最終逃過蘋果官方審查,說明這個(gè)機(jī)制還是有不小漏洞。這或許值得所有人反思。
也許通過此次事件,我們?cè)撜J(rèn)識(shí)到的是,沒有絕對(duì)安全的網(wǎng)絡(luò)世界。而蘋果也應(yīng)該做更多的努力,重拾人們的信任。
推薦閱讀
騰訊同時(shí)成立兩個(gè)影視公司,對(duì)抗阿里的同時(shí)跟自己撕?
“本是同根生,相煎何太急。”鵝廠似乎很喜歡做這樣的事情,而且似乎已經(jīng)形成了其特有的“內(nèi)斗”文化。>>>詳細(xì)閱讀
本文標(biāo)題:蘋果正式回應(yīng)XcodeGhost木馬事件
地址:http://www.oumuer.cn/a/daohang/20150921/297509.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示