北京時間9月21日上午,蘋果首次對最近鬧得沸沸揚揚的“XcodeGhost木馬事件”做出正式回應(yīng)。
蘋果方面表示:“Apple極其重視安全;iOS設(shè)計的出發(fā)點就是可靠性和安全性。我們?yōu)殚_發(fā)者提供業(yè)界最先進的工具創(chuàng)造絕佳的App。基于非信任渠道發(fā)布的這些工具中的一個錯誤版本開發(fā)的App有可能對用戶安全造成威脅。為了保護用戶,我們已經(jīng)將由該錯誤軟件開發(fā)的App從App Store撤下,并正與開發(fā)者共同努力確保使用正確版本的Xcode重建他們的App。”
9月17日之后的那個周末,蘋果在中國爆發(fā)了有史以來最大的安全危機。因為iOS應(yīng)用開發(fā)者們的開發(fā)工具“中毒”,大量用戶常用的知名應(yīng)用被曝光感染木馬。
根據(jù)目前公開的信息,這個名為XcodeGhost的木馬能獲取用戶的各種基本信息,包括應(yīng)用名、應(yīng)用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、App安裝時間、設(shè)別名稱和設(shè)備類型等。
看起來這些信息都非常“基礎(chǔ)”,而且到目前為止,并沒有爆出有用戶因為這個漏洞蒙受損失。
但也許危機不止于此。
騰訊安全應(yīng)急響應(yīng)中心9月19日發(fā)布了一篇文章全面分析了XcodeGhost病毒的作用和可能的危害。這篇文章指出,這個木馬不僅能夠在受感染的iPhone中完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機行為,甚至還能遠(yuǎn)程彈窗騙取用戶更多信息。
“這應(yīng)當(dāng)是App Store自2008年上線以來遭受的規(guī)模最大的攻擊,涉及應(yīng)用之廣已經(jīng)完全超過想象,若非發(fā)現(xiàn)及時,此病毒再增加更豐富的機能(如對密碼輸入框進行hook等)之后,可能成為中國歷史甚至世界歷史上涉案金額最高的黑客事件之一。”知乎上一個名為yang leonier的用戶評論。
誰該對此負(fù)責(zé)?主要責(zé)任肯定是那些使用非官方開發(fā)工具的應(yīng)用開發(fā)者。
此次木馬“殺傷面”如此之廣,是因為大量開發(fā)者使用的“工具”Xcode出了問題。
開發(fā)iOS應(yīng)用,有一款開發(fā)工具必不可少,就是蘋果自家出的Xcode——它負(fù)責(zé)把源代碼編譯為可執(zhí)行的應(yīng)用,開發(fā)者才能把應(yīng)用上傳到蘋果應(yīng)用商店后臺,經(jīng)過蘋果官方審核后,在應(yīng)用商店App Store上架,正式開放下載。
按常理來說,開發(fā)者們都應(yīng)該去蘋果的官方地址下載Xcode。但現(xiàn)實情況是,出問題的應(yīng)用開發(fā)者們都是使用的第三方渠道下載的Xcode編譯軟件。
其中一點理由是,第三方編譯器比官方網(wǎng)站的功能更為豐富,這些功能都是民間編碼高手自行開發(fā)出來的,開發(fā)者用這種第三方編譯器更為方便。
“程序員使用第三方編譯器,就像一個人造汽車,他選擇去外面購買輪胎,而不是自己造一個輪胎。”賽門鐵克一名從事網(wǎng)絡(luò)安全的軟件工程師這樣解釋軟件程序員使用第三方編譯器,即一些標(biāo)準(zhǔn)化的工作交給工具來完成。
但是更多的中國開發(fā)者使用Xcode是因為一個更為簡單的理由,圖下載方便。
“這個工具有2G多,國內(nèi)的網(wǎng)絡(luò)由于一些原因,和蘋果服務(wù)器連接非常困難,十多分鐘就要斷一次。”有開發(fā)者向界面新聞表示,所以從第三方渠道下載成為很多程序員圖方便的選擇。
“基本上我身邊所有的開發(fā)者都不會使用官方的,而去一些論壇或者百度網(wǎng)盤之類的第三方網(wǎng)站下載這個編譯器。”國內(nèi)一家安全廠商的員工告訴界面新聞記者。
但這次XcodeGhost危機卻實實在在給這些開發(fā)者們上了一課,即使官方版開發(fā)工具下載再怎么不方便,也不能不經(jīng)校驗就直接使用未知渠道的Xcode。
當(dāng)然,蘋果也應(yīng)該做出改進。
第一批在微博上曝光XcodeGhost漏洞的iOS開發(fā)工程師唐巧認(rèn)為,既然中國已經(jīng)成為蘋果最大的海外市場,蘋果應(yīng)當(dāng)在中國多部署幾個服務(wù)器,能夠減少程序員在第三方下載編譯器的幾率。
另外,即使開發(fā)者層面出了問題,蘋果的應(yīng)用審查機制應(yīng)該有能力,而且也有責(zé)任查出帶有木馬的應(yīng)用。
“我們大部分同事都認(rèn)為蘋果對此事件負(fù)有責(zé)任,在上架審查的時候不夠嚴(yán)格。”前述國內(nèi)安全廠商人士認(rèn)為,此次木馬程序應(yīng)該就是抓住了蘋果審核比較薄弱的環(huán)節(jié)或者說他們審核的漏洞,也有可能蘋果對于來自騰訊、網(wǎng)易這樣大團隊制作的應(yīng)用審核更為松懈,因為有信用在。
但也有持有相反意見的,認(rèn)為蘋果并不需要為此次事件負(fù)責(zé)。
“實際上這件事情跟蘋果沒有太大的關(guān)系,審查有個度,需要在‘安全性’和‘可用性’之間做一些平衡。”賽門鐵克一位員工向界面新聞表示,蘋果安全審查相對來說較為嚴(yán)格,雖然出現(xiàn)了漏洞,但如果過于嚴(yán)格,應(yīng)用上架審查流程過于復(fù)雜,可能會造成市場上應(yīng)用缺乏的狀況,也難以和競爭對手抗衡。
就在9月19日凌晨,在新浪微博上,一個名為“XcodeGhost-Author”的作者發(fā)布聲明稱,此次事件源于自己的實驗,沒有任何威脅性行為。同時,他還公布了源代碼,證明自己是插件的作者。人們無法證實該作者就是此次事件的始作俑者,而且事件的危害也許并不能像這位作者掩飾的一樣輕描淡寫。
更重要的是,怎么預(yù)防下一次攻擊?
一直以來,蘋果系統(tǒng)爆發(fā)的安全事件較少,被認(rèn)為十分安全,而此次惡意程序事件表明,“沒有絕對安全的系統(tǒng)。”
賽門鐵克工作人員表示,“也不能說此次攻擊者就格外高明,安全事件的發(fā)生只是概率問題。”實際上針對蘋果系統(tǒng)的攻擊時時刻刻都在發(fā)生,而一段惡意代碼能夠成功植入,逃過第三方審查,也逃過了程序員審查,并最終逃過蘋果官方審查,說明這個機制還是有不小漏洞。這或許值得所有人反思。
也許通過此次事件,我們該認(rèn)識到的是,沒有絕對安全的網(wǎng)絡(luò)世界。而蘋果也應(yīng)該做更多的努力,重拾人們的信任。
推薦閱讀
“本是同根生,相煎何太急。”鵝廠似乎很喜歡做這樣的事情,而且似乎已經(jīng)形成了其特有的“內(nèi)斗”文化。>>>詳細(xì)閱讀
本文標(biāo)題:蘋果正式回應(yīng)XcodeGhost木馬事件
地址:http://www.brh9h.cn/a/daohang/20150921/297509.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示