北京時間9月21日上午,蘋果首次對最近鬧得沸沸揚揚的“XcodeGhost木馬事件”做出正式回應。
蘋果方面表示:“Apple極其重視安全;iOS設計的出發點就是可靠性和安全性。我們為開發者提供業界最先進的工具創造絕佳的App。基于非信任渠道發布的這些工具中的一個錯誤版本開發的App有可能對用戶安全造成威脅。為了保護用戶,我們已經將由該錯誤軟件開發的App從App Store撤下,并正與開發者共同努力確保使用正確版本的Xcode重建他們的App。”
9月17日之后的那個周末,蘋果在中國爆發了有史以來最大的安全危機。因為iOS應用開發者們的開發工具“中毒”,大量用戶常用的知名應用被曝光感染木馬。
根據目前公開的信息,這個名為XcodeGhost的木馬能獲取用戶的各種基本信息,包括應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設別名稱和設備類型等。
看起來這些信息都非常“基礎”,而且到目前為止,并沒有爆出有用戶因為這個漏洞蒙受損失。
但也許危機不止于此。
騰訊安全應急響應中心9月19日發布了一篇文章全面分析了XcodeGhost病毒的作用和可能的危害。這篇文章指出,這個木馬不僅能夠在受感染的iPhone中完成打開網頁、發短信、打電話等常規手機行為,甚至還能遠程彈窗騙取用戶更多信息。
“這應當是App Store自2008年上線以來遭受的規模最大的攻擊,涉及應用之廣已經完全超過想象,若非發現及時,此病毒再增加更豐富的機能(如對密碼輸入框進行hook等)之后,可能成為中國歷史甚至世界歷史上涉案金額最高的黑客事件之一。”知乎上一個名為yang leonier的用戶評論。
誰該對此負責?主要責任肯定是那些使用非官方開發工具的應用開發者。
此次木馬“殺傷面”如此之廣,是因為大量開發者使用的“工具”Xcode出了問題。
開發iOS應用,有一款開發工具必不可少,就是蘋果自家出的Xcode——它負責把源代碼編譯為可執行的應用,開發者才能把應用上傳到蘋果應用商店后臺,經過蘋果官方審核后,在應用商店App Store上架,正式開放下載。
按常理來說,開發者們都應該去蘋果的官方地址下載Xcode。但現實情況是,出問題的應用開發者們都是使用的第三方渠道下載的Xcode編譯軟件。
其中一點理由是,第三方編譯器比官方網站的功能更為豐富,這些功能都是民間編碼高手自行開發出來的,開發者用這種第三方編譯器更為方便。
“程序員使用第三方編譯器,就像一個人造汽車,他選擇去外面購買輪胎,而不是自己造一個輪胎。”賽門鐵克一名從事網絡安全的軟件工程師這樣解釋軟件程序員使用第三方編譯器,即一些標準化的工作交給工具來完成。
但是更多的中國開發者使用Xcode是因為一個更為簡單的理由,圖下載方便。
“這個工具有2G多,國內的網絡由于一些原因,和蘋果服務器連接非常困難,十多分鐘就要斷一次。”有開發者向界面新聞表示,所以從第三方渠道下載成為很多程序員圖方便的選擇。
“基本上我身邊所有的開發者都不會使用官方的,而去一些論壇或者百度網盤之類的第三方網站下載這個編譯器。”國內一家安全廠商的員工告訴界面新聞記者。
但這次XcodeGhost危機卻實實在在給這些開發者們上了一課,即使官方版開發工具下載再怎么不方便,也不能不經校驗就直接使用未知渠道的Xcode。
當然,蘋果也應該做出改進。
第一批在微博上曝光XcodeGhost漏洞的iOS開發工程師唐巧認為,既然中國已經成為蘋果最大的海外市場,蘋果應當在中國多部署幾個服務器,能夠減少程序員在第三方下載編譯器的幾率。
另外,即使開發者層面出了問題,蘋果的應用審查機制應該有能力,而且也有責任查出帶有木馬的應用。
“我們大部分同事都認為蘋果對此事件負有責任,在上架審查的時候不夠嚴格。”前述國內安全廠商人士認為,此次木馬程序應該就是抓住了蘋果審核比較薄弱的環節或者說他們審核的漏洞,也有可能蘋果對于來自騰訊、網易這樣大團隊制作的應用審核更為松懈,因為有信用在。
但也有持有相反意見的,認為蘋果并不需要為此次事件負責。
“實際上這件事情跟蘋果沒有太大的關系,審查有個度,需要在‘安全性’和‘可用性’之間做一些平衡。”賽門鐵克一位員工向界面新聞表示,蘋果安全審查相對來說較為嚴格,雖然出現了漏洞,但如果過于嚴格,應用上架審查流程過于復雜,可能會造成市場上應用缺乏的狀況,也難以和競爭對手抗衡。
就在9月19日凌晨,在新浪微博上,一個名為“XcodeGhost-Author”的作者發布聲明稱,此次事件源于自己的實驗,沒有任何威脅性行為。同時,他還公布了源代碼,證明自己是插件的作者。人們無法證實該作者就是此次事件的始作俑者,而且事件的危害也許并不能像這位作者掩飾的一樣輕描淡寫。
更重要的是,怎么預防下一次攻擊?
一直以來,蘋果系統爆發的安全事件較少,被認為十分安全,而此次惡意程序事件表明,“沒有絕對安全的系統。”
賽門鐵克工作人員表示,“也不能說此次攻擊者就格外高明,安全事件的發生只是概率問題。”實際上針對蘋果系統的攻擊時時刻刻都在發生,而一段惡意代碼能夠成功植入,逃過第三方審查,也逃過了程序員審查,并最終逃過蘋果官方審查,說明這個機制還是有不小漏洞。這或許值得所有人反思。
也許通過此次事件,我們該認識到的是,沒有絕對安全的網絡世界。而蘋果也應該做更多的努力,重拾人們的信任。
推薦閱讀
“本是同根生,相煎何太急。”鵝廠似乎很喜歡做這樣的事情,而且似乎已經形成了其特有的“內斗”文化。>>>詳細閱讀
本文標題:蘋果正式回應XcodeGhost木馬事件
地址:http://www.xglongwei.com/a/daohang/20150921/297509.html
網友點評
精彩導讀
科技快報
品牌展示