AD
早报记者 杨鑫倢 陈栩 综合报道
苹果APP“漏洞门”仍在发酵。据PP助手的技术专家统计的20日的数据,使用了“Xcode病毒检测”工具进行检测的苹果用户中,人均安装受感染应用1.4个,感染“密度”非常大。
另据了解,目前检测到的受感染的APP版本清单仍在增加,为了尽量避免用户的隐私泄露,国内安全团队相互间也有共享各自检测的受感染APP版本数据,有消息称截至9月21日中午,检测到受感染的APP版本已超过3700个。
XcodeGhost
究竟是何方妖孽?
据华为北京研究院一位系统研发人员介绍,一款APP的发布,比如微信、滴滴、58同城等,首先是要编写源代码,在编写完成后,则需要将代码编译成“可执行的文件”进行打包发布。苹果iOS APP的开发需要通过苹果自家出的Xcode,把源代码编译为可执行的APP,开发者才能把APP上传到苹果应用商店后台,经过苹果官方审核后,APP在应用商店APP Store上架,正式开放下载。
“这本来没什么问题,但由于Xcode 体积较大,有几个GB,国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点,将加了后门木马的Xcode工具上传到国内网盘上,然后在各种iOS开发论坛发帖、回复进行散播。”该研发人员说。
由于木马作者提供的 Xcode版本齐全,国内网盘下载速度相比苹果官网也更加快速,各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就上钩了。然而,这个“加了料”的Xcode会在程序员编译APP的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了,但“程序猿”们对此毫不知情。
“按道理,每款APP被放置到苹果的官方应用商店供用户下载前,是需要通过苹果平台的检测的。”该研发人员告诉记者,遗憾的是苹果也没有检验出应用里含有木马病毒,很多APP用户因此中招。
百度安全相关负责人提示,网盘、迅雷等都是深受用户喜爱的网络工具,拥有亿级以上的用户。而同类型的产品在网上还有很多。此次事件非常典型,说明对于上传文件和下载内容,服务提供商应该在尊重用户隐私的基础上,提高安全检测的门槛,防止被黑客“当枪使”。
苹果iOS系统安全防线
陷入信任危机
这次木马病毒的感染,波及的用户可能上亿,很多用户在未使用“越狱”版本的情况下,依然无辜中招儿,这让苹果iOS系统的安全防线陷入前所未有的信任危机。
“现在可以判断,污染下载渠道这种攻击方式的强大和影响程度,要远远超过Xcode被替换事件本身。因为到底有多少官方下载链接资源被污染?外界很难统计清楚。现在我们掌握的情况,只是冰山一角。”百度安全实验室X-TEAM负责人王宇说。
赛门铁克工作人员表示,“也不能说此次攻击者就格外高明,安全事件的发生只是概率问题。”实际上针对苹果系统的攻击时时刻刻都在发生,而一段恶意代码能够成功植入,逃过第三方审查,也逃过了程序员审查,并最终逃过苹果官方审查,说明这个机制还是有不小漏洞。这或许值得所有人反思。
百度安全提示,“我们更应该关注,污染包括下载工具、运营商下载通道等在内的下载途径,已经成为地下黑色产业链牟利的重要方法,这可以大大增加恶意软件的影响范围。因此相关企业应该彻查安全隐患,排除脆弱点,对自身的安全体系和安全管理进行完善。”
为手机APP创业热
提出了安全警示
综合来看,以往安全事件多是某APP的个体事件,但本次安全事件则算得上系统性事件。对此安言咨询总经理张耀疆认为,“这起事件反映了一种潜在风险,即在用户甚至开发商不知晓的情况下,也有泄露所有个人信息的可能性。即使这次解决了,开发者也很难保证下次不出现类似问题,因为这不是一家能解决的问题,而是整个移动开发链条上的问题。”
“这次事件给整个业界提了个醒,开发及编译工具应该是需要"重兵"把守的"城门"。”资深安全专家林正隆表示。
对于本次事件的后续影响,启明星辰(002439,股吧)副总裁欧阳梅雯告诉记者,“目前手机APP创业非常热,大部分公司为了赶进度,很多规则就模糊了。即使在安全实力很强的企业,业务部门也可能不太注重安全,抢着就把APP上线了。但一旦出现安全问题,不仅会对企业品牌产生负面影响,而且中招软件的卸载率也会很高。”
张耀疆、欧阳梅雯建议,众多开发商提供的东西良莠不齐,很多中小企业不具备软件自检的能力,这类软件在市场上流转就隐藏着很大风险。因此,有关部门应该建立一个不依赖任何企业的安全控制机制,把这些应用管起来。此外,尽管本次事件影响巨大,却似乎没有任何人将为此负责,这也再次凸显个人信息保护立法立规的重要性。
