【印聯(lián)傳媒網(wǎng)訊】這兩天，被蘋果XCodeGhost特洛伊刷屏。通過(guò)在iOS開發(fā)工具Xcode中插入惡意代碼的病毒傳播方式在iOS上還是第一次。這也是去年黑客攻破蘋果iCloud服務(wù)器并公開女明星私人照片后的有一次重大安全事件。
 

　　黑客已經(jīng)基本控制了你的手機(jī)

　　來(lái)自多個(gè)安全團(tuán)隊(duì)的數(shù)據(jù)，AppStore下載量最高的5000個(gè)APP中有76款A(yù)PP被XCodeGhost感染，其中不乏大公司的知名應(yīng)用，也有不少金融類應(yīng)用，還有諸多民生類應(yīng)用。根據(jù)保守估計(jì)，受這次事件影響的用戶數(shù)超過(guò)一億;這些用戶可能面臨帳號(hào)泄露及經(jīng)濟(jì)損失的風(fēng)險(xiǎn)。

　　按安全專家的說(shuō)法，除了APP版本、APP名稱、本地語(yǔ)言、iOS版本、設(shè)備類型、國(guó)家碼等設(shè)備應(yīng)用信息能被上報(bào)至黑客控制的服務(wù)器，能精準(zhǔn)的區(qū)分每一臺(tái)iOS設(shè)備。

　　而對(duì)于普通用戶來(lái)說(shuō)，后果遠(yuǎn)遠(yuǎn)超過(guò)想象。黑客通過(guò)這個(gè)能力，不僅能夠在受感染的iPhone中完成打開網(wǎng)頁(yè)、發(fā)短信、打電話等常規(guī)手機(jī)行為，甚至還可以操作具備偽協(xié)議能力的大量第三方APP。實(shí)際上，iPhone上的APP如果被感染，完全可以理解為黑客已經(jīng)基本控制了你的手機(jī)!

　　黑客要偷什么?這些工程師怎么了?

　　為什么要偷A(chǔ)pple帳號(hào)?簡(jiǎn)單說(shuō)幾點(diǎn)，一來(lái)可以幫第三方游戲及軟件等App應(yīng)用刷榜，通過(guò)其下載量變現(xiàn);亂發(fā)iMessage廣告和短信變現(xiàn);更危險(xiǎn)的是，知道用戶的帳號(hào)后能得到相當(dāng)?shù)臋?quán)限，除了在蘋果商店下載大量的免費(fèi)應(yīng)用。

　　當(dāng)用戶賬戶有錢的時(shí)候，可以輕易用你預(yù)存的錢或你的信用卡買App，偷賬戶里的錢，想想都可怕。至于多數(shù)人擔(dān)心的照片流出，其實(shí)，除非你是范X冰，否則人家對(duì)你的照片根本沒(méi)啥興趣，也不至于花這么大勁。

　　看看這次受影響APP的名單，驚訝于其中不乏來(lái)自各大知名公司的應(yīng)用產(chǎn)品。影響最大的可能就是微信，此外諸多高頻應(yīng)用包括炒股應(yīng)用同花順、高德地圖、滴滴打車、網(wǎng)易云音樂(lè)等。甚至還有中國(guó)聯(lián)通手機(jī)營(yíng)業(yè)廳赫然在列。

　　按理說(shuō)，開放這些應(yīng)用的大公司應(yīng)該有正確的電腦和軟件的使用制度。由公司統(tǒng)一配置開發(fā)所用電腦和測(cè)試所用的手機(jī)，以及上傳相應(yīng)的軟件和工具，它們的升級(jí)也應(yīng)該來(lái)自公司可信的來(lái)源。比如公司自己的專用內(nèi)部服務(wù)器，負(fù)責(zé)開放工具的分發(fā)及升級(jí)，或者直接從Apple官方下載，不允許用不明來(lái)源的電腦及軟件來(lái)做這個(gè)事。

　　Apple官網(wǎng)服務(wù)器在國(guó)外，這個(gè)客觀事實(shí)讓不少開發(fā)者感到下載速度特別慢，導(dǎo)致中途可能出現(xiàn)中斷的現(xiàn)象，不可否認(rèn)直接影響開發(fā)進(jìn)度。為了提高效率，有工程師就在下載Xcode后，放到網(wǎng)盤上供其他人下載，也有的工程師可能就逾越了本來(lái)的官方渠道，到第三方下載，進(jìn)而污染了公司開發(fā)系統(tǒng)內(nèi)部，而這次的問(wèn)題就出在這里。

　　為什么這些應(yīng)用的開發(fā)方不用自己的服務(wù)器分發(fā)開發(fā)工具，工程師要到外面去亂找?對(duì)于大公司開發(fā)軟件項(xiàng)目，幾乎都是由一組工程師來(lái)完成，例如微信不可能是一名工程師單獨(dú)研發(fā)的，高德地圖、滴滴出行、網(wǎng)易云音樂(lè)、這些高頻應(yīng)用也不可能是一個(gè)人做出來(lái)的嘛。相信騰訊、網(wǎng)易、高德地圖、同花順、聯(lián)通這些大公司是有完善的開發(fā)制度可依，但可以肯定說(shuō)，這次事件暴露了這些制度形同虛設(shè)，執(zhí)行不到位，導(dǎo)致的結(jié)果就是給用戶帶來(lái)了到現(xiàn)在還難以預(yù)估的巨大風(fēng)險(xiǎn)和損失。

　　但事發(fā)這么多天來(lái)，不是每個(gè)公司都第一時(shí)間發(fā)現(xiàn)了問(wèn)題，而且，聲明歸聲明，到現(xiàn)在為止沒(méi)有哪一家涉事公司采取更積極負(fù)責(zé)任的做法。例如強(qiáng)制升級(jí)，并同時(shí)禁止舊版本使用;用彈窗等發(fā)法明確告知用戶;而且目前還沒(méi)有哪家公司表示向警方報(bào)案，嚴(yán)懲犯罪分子。

　　中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例總則第七條明確指出，任何組織或者個(gè)人，不得利用計(jì)算機(jī)信息系統(tǒng)從事危害國(guó)家利益、集體利益和公民合法利益的活動(dòng)，不得危害計(jì)算機(jī)信息系統(tǒng)的安全。截至目前，沒(méi)有聽說(shuō)哪家公司訴諸法律對(duì)此事進(jìn)行報(bào)案。

　　蘋果中毒!這些公司又做了什么?

　　回頭說(shuō)蘋果，之所以此次事件引發(fā)強(qiáng)烈關(guān)注，其中一個(gè)原因就是它攻陷了大眾對(duì)蘋果安全性的心理預(yù)期。這次事件也再次暴露了蘋果對(duì)安全的忽視。

　　蘋果的責(zé)任是什么?

　　首先，第一時(shí)間應(yīng)該下架目前所有有問(wèn)題應(yīng)用;及時(shí)發(fā)布工具讓開發(fā)者檢測(cè)自己的開發(fā)環(huán)境是否已被污染;并幫助蘋果用戶快速檢查手機(jī)里是否存在問(wèn)題應(yīng)用，并提示卸載。

　　到目前為止，筆者在蘋果官方網(wǎng)站沒(méi)有看到蘋果公司采取任何積極的措施，讓用戶知曉自己可能面臨的風(fēng)險(xiǎn)，就不用說(shuō)采取其他積極的措施補(bǔ)救了。一直以來(lái)，蘋果iPhone、iPad等設(shè)備被認(rèn)為是比Android等其他設(shè)備更安全的平臺(tái)，接二連三的事件讓蘋果更安全的神話破滅。

　　就在不久幾天前，蘋果發(fā)布了新的iPhone6s系列手機(jī)及iPad Pro等設(shè)備，希望能夠進(jìn)入更深的商務(wù)市場(chǎng)，而安全性正是商務(wù)人士及企業(yè)更關(guān)注的基礎(chǔ)。以庫(kù)克為代表的新一代蘋果高管若不對(duì)本次事件采取積極的應(yīng)對(duì)態(tài)度，勢(shì)必影響大眾對(duì)蘋果公司管理層的質(zhì)疑。

　　事件發(fā)生后，騰訊、網(wǎng)易、阿里巴巴等公司雖然發(fā)表了聲明;但仔細(xì)閱讀了這些聲明發(fā)現(xiàn)一個(gè)共同的問(wèn)題：對(duì)用戶可能面臨的風(fēng)險(xiǎn)避重就輕，回避自己應(yīng)該承擔(dān)的責(zé)任。用戶如果因?yàn)閹ぬ?hào)泄露出現(xiàn)了經(jīng)濟(jì)損失或其他后果，這些公司是不打算承擔(dān)相應(yīng)責(zé)任的。而這件事之所以能夠這么嚴(yán)重，最主要的原因就是以上這些公司的開發(fā)人員不嚴(yán)格尊重相應(yīng)的管理制度，將惡意代碼意外引入，這些公司內(nèi)部的管理核查又是走形式，從而使得感染了惡意代碼的App通過(guò)合法的蘋果應(yīng)用商店發(fā)布出去。

　　以上公司在事件發(fā)生后雖然積極研究，并更新了版本，但對(duì)用戶風(fēng)險(xiǎn)提示進(jìn)行掩飾，可能進(jìn)一步誤導(dǎo)用戶對(duì)風(fēng)險(xiǎn)的重視不足，使得問(wèn)題沒(méi)有及時(shí)徹底解決，對(duì)將來(lái)用戶構(gòu)成進(jìn)一步風(fēng)險(xiǎn)。

　　另外，這是中國(guó)移動(dòng)互聯(lián)網(wǎng)歷史上，第一個(gè)重大的涉及犯罪的案件，各個(gè)涉事公司，竟然都對(duì)犯罪分子采取縱容放任的態(tài)度，不去報(bào)案。目前，網(wǎng)易表示犯罪分子的服務(wù)器已經(jīng)關(guān)閉，所以用戶就是安全的。這樣的表態(tài)是非常不妥及不負(fù)責(zé)的，這些精心策劃惡意代碼的犯罪份子，目前可能只是蟄伏避風(fēng)頭，如果不能以法律手段嚴(yán)懲，將來(lái)還有可能釀成更嚴(yán)重的事件，從而對(duì)社會(huì)，對(duì)大眾構(gòu)成更嚴(yán)重的風(fēng)險(xiǎn)和損失。我國(guó)對(duì)高科技犯罪向來(lái)是嚴(yán)格執(zhí)法，以之前熊貓燒香等經(jīng)典案例來(lái)看，法律制度是完善的，但互聯(lián)網(wǎng)業(yè)界的相關(guān)公司不能諱疾忌醫(yī)，讓公眾安全承受威脅。

　　據(jù)盤古團(tuán)隊(duì)一款Xcode病毒檢測(cè)工具,目前有檢測(cè)出有問(wèn)題的不同版本應(yīng)用超過(guò)800個(gè),仍在持續(xù)增加。

　　那現(xiàn)在用戶到底怎么辦?這次爆發(fā)主要受影響的是中國(guó)蘋果用戶，微信都中招了，趕快換蘋果ID的密碼是一件重要的事。

印聯(lián)責(zé)編：星星