梳理Xcode事件背后的真相你的蘋果是手機(jī)還是“手雷”？

■ 文/陳奕志

視野·Insight

梳理Xcode事件背后的真相你的蘋果是手機(jī)還是“手雷”？

■ 文/陳奕志

有理由相信，蘋果的Xcode事件不會(huì)是終點(diǎn)。事實(shí)上，不僅僅是智能手機(jī)的網(wǎng)絡(luò)安全值得關(guān)注，包括智能手環(huán)、智能手表、智能眼鏡等可穿戴設(shè)備，甚至智能家電、無人駕駛汽車等等，也可能會(huì)帶來更多的麻煩。

本次Xcode事件引起反思的恐怕不僅僅是蘋果公司和庫克。

進(jìn)入9月中旬以來，一個(gè)普通的手機(jī)病毒XcodeGhost，由于其牽涉到蘋果公司，從而成為安全業(yè)界傳得沸沸揚(yáng)揚(yáng)的大事，進(jìn)而發(fā)酵為“蘋果”也不安全的“Xcode”事件，使得“完美”的蘋果在安全方面被XcodeGhost撕開了一道裂縫，終結(jié)了蘋果的完美神話。既然完美蘋果已不完美，那么Xcode事件給我們又帶來哪些思考呢？

Xcode事件是影響幾何？

就本次事件的原委來說，蘋果的“Xcode”事件并不復(fù)雜，可以簡單理解為有人在蘋果App開發(fā)工具Xcode中添加了一段代碼，然后將其放到第三方網(wǎng)站供國內(nèi)開發(fā)者下載。由于蘋果Xcode存放在美國的服務(wù)器，所以國內(nèi)開發(fā)者下載的時(shí)間是美國開發(fā)者下載的3倍，那些不愿意多花時(shí)間下載的“懶蟲們”就通過第三方網(wǎng)站下載Xcode。結(jié)果，通過這些被感染的Xcode開發(fā)出來的App出現(xiàn)問題在所難免。

9月21日，針對(duì)最近沸沸揚(yáng)揚(yáng)的“XcodeGhost木馬事件”，蘋果公司終于打破沉默。

“Apple極其重視安全，iOS設(shè)計(jì)的出發(fā)點(diǎn)就是可靠性和安全性。我們?yōu)殚_發(fā)者提供業(yè)界最先進(jìn)的工具創(chuàng)造絕佳的App。基于非信任渠道發(fā)布的這些工具中的一個(gè)錯(cuò)誤版本開發(fā)的App有可能對(duì)用戶安全造成威脅。為了保護(hù)用戶，我們已經(jīng)將由該錯(cuò)誤軟件開發(fā)的App從App Store撤下，并正與開發(fā)者共同努力確保使用正確版本的Xcode重建他們的App?！碧O果中國回應(yīng)說，不過蘋果公司并未透露受感染App的具體數(shù)量。

蘋果的輕描淡寫恐怕很難解除中國數(shù)目龐大的果粉們的疑慮。因?yàn)閕OS應(yīng)用開發(fā)者們的開發(fā)工具“中毒”了，至少數(shù)百款A(yù)pp被曝中招，包括微信、天涯、中信銀行、喜馬拉雅、南方航空、滴滴出行、高德地圖、同花順、網(wǎng)易云音樂、12306、58同城等大量知名的App。據(jù)悉，受Xcode事件影響的用戶數(shù)量可能超過一億。這讓蘋果iOS系統(tǒng)陷入一場(chǎng)始料未及的信任危機(jī)。

對(duì)于Xcode事件的影響，蘋果給出的評(píng)估認(rèn)為，XcodeGhost病毒的危害并不大，對(duì)于iOS用戶來說，其實(shí)不必太過慌張，XcodeGhost病毒目前只會(huì)上傳產(chǎn)品自身的部分基本信息，包括安裝時(shí)間，應(yīng)用ID，應(yīng)用名稱，系統(tǒng)版本，語言，國家等等，不會(huì)涉及到個(gè)人信息。蘋果公司全球市場(chǎng)營銷高級(jí)副總裁菲爾·席勒認(rèn)為：“目前沒有任何信息表明這些惡意軟件與任何惡意事件相關(guān)或傳播了任何個(gè)人身份信息。”

實(shí)際情況又會(huì)如何呢？騰訊安全應(yīng)急中心列出了以下幾種可能的危害。

1.在受感染的App啟動(dòng)、運(yùn)行后臺(tái)、恢復(fù)、結(jié)束時(shí)上報(bào)信息至黑客控制的服務(wù)器。

2.黑客可以下發(fā)偽協(xié)議命令在受感染的iPhone中執(zhí)行。

3.黑客可以在受感染的iPhone中彈出內(nèi)容由服務(wù)器控制的對(duì)話框窗口。

4.遠(yuǎn)程控制模塊協(xié)議存在漏洞，可被中間人攻擊。

值得一提的是，遠(yuǎn)程控制模塊并不只一個(gè)版本。在現(xiàn)已公開的分析中，都未指出模塊具備遠(yuǎn)程控制能力和自定義彈窗能力，而遠(yuǎn)程控制模塊本身還存在漏洞可被中間人攻擊，組合利用的威力可想而知。

綜合來看，這個(gè)事件的危害其實(shí)被蘋果大大的低估了，究竟是有意還是無意，不得而知。

蘋果審核機(jī)制出現(xiàn)問題了嗎？

“果粉們”購買蘋果，不僅僅因?yàn)樘O果的品牌，還有一個(gè)重要的理由則是蘋果的安全性。因?yàn)榉忾]的系統(tǒng)，以及軟件與硬件的緊密結(jié)合，蘋果公司一向被人們認(rèn)為是安全的曲范。本次出現(xiàn)的Xcode事件，并非蘋果開發(fā)工具Xcode本身的問題，蘋果好像“躺槍”了，然而事情并非如此簡單，因?yàn)樘O果對(duì)于上傳到App Store的App有一道審核機(jī)制。那么被感染的App是如何通過蘋果的審核，從而進(jìn)入App Store進(jìn)行下載的？這說明蘋果的審核機(jī)制出現(xiàn)了問題。

·蘋果公司全球市場(chǎng)營銷高級(jí)副總裁菲爾·席勒認(rèn)為：“目前沒有任何信息表明這些惡意軟件與任何惡意事件相關(guān)或傳播了任何個(gè)人身份信息?！薄?jù)悉，至少數(shù)百款A(yù)pp被曝中招，包括微信、天涯、中信銀行、喜馬拉雅等等?！ぬO果公司對(duì)每一款應(yīng)用程序設(shè)定了嚴(yán)格的審查制度。

為了保證應(yīng)用程序的合法性和安全性，蘋果公司對(duì)每一款應(yīng)用程序設(shè)定了嚴(yán)格的審查制度。每一個(gè)軟件在發(fā)布之前都會(huì)經(jīng)歷一段時(shí)間的機(jī)器或人工審核階段。這個(gè)時(shí)間短則幾天，多達(dá)數(shù)周。既然有如此嚴(yán)格的審核過程，為什么還會(huì)出現(xiàn)被感染的APP通過審核進(jìn)入App Store呢？

蘋果公司并沒有正面回應(yīng)其審核機(jī)制的問題。蘋果公司全球市場(chǎng)營銷高級(jí)副總裁菲爾·席勒只是提到，“沒有完美的系統(tǒng)，但是蘋果一直在進(jìn)步。每次我們經(jīng)歷一些，就能繼續(xù)進(jìn)步，這個(gè)事件也是如此。這次我們學(xué)到了很多?！?/p>

既然蘋果承認(rèn)自己并非完美，那么它將如何應(yīng)對(duì)本次事件？如何保證以后不會(huì)再發(fā)生類似的事件呢？菲爾·席勒認(rèn)為，就目前來說，蘋果構(gòu)建的一整套安全機(jī)制依然有效，如果上架審核漏過了，就快速對(duì)受感染App下架，并在之后聯(lián)系開發(fā)者，請(qǐng)他們用正版Xcode開發(fā)App并進(jìn)行更新。

通過菲爾·席勒的回應(yīng)，我們可以看到，蘋果似乎還無法完全通過審核來排除受感染的App上架，只是采用“亡羊補(bǔ)牢”的方式來解決問題。

“Xcode”事件帶來哪些思考？

雖然最近才暴露出蘋果的審核漏洞，其實(shí)該漏洞早就存在。在今年3月，斯諾登就曾經(jīng)披露了有關(guān)MAC OS和iOS開發(fā)套件的資料：美國國家安全局NSA曾考慮通過在Xcode SDK安插后門程序，修改iOS系統(tǒng)安全策略，繞過蘋果App Store的安全審查機(jī)制，最終將帶毒App放到正規(guī)的App Store里?？磥硖O果的審核漏洞早就存在，并被NSA所發(fā)現(xiàn)，為什么精明的蘋果沒有發(fā)現(xiàn)這個(gè)問題？恐怕蘋果需要進(jìn)行反思。

經(jīng)過本次Xcode事件后，開發(fā)者紛紛表示以后只敢下官方安裝包，并且通過MD5和SHA1雙校驗(yàn)才敢使用。然而這個(gè)事件本身所帶來的思考，遠(yuǎn)不僅限于改變不安全的下載習(xí)慣這么簡單。

既然在蘋果封閉的系統(tǒng)當(dāng)中，安全問題面臨考驗(yàn)，那在安卓等更多開源系統(tǒng)當(dāng)中，這類安全問題可能會(huì)更加突出，而且還會(huì)隨著智能設(shè)備的普及而更加嚴(yán)峻。

有理由相信，蘋果的Xcode事件不會(huì)是終點(diǎn)。事實(shí)上，不僅僅是智能手機(jī)的網(wǎng)絡(luò)安全值得關(guān)注，包括智能手環(huán)、智能手表、智能眼鏡等可穿戴設(shè)備，甚至智能家電、無人駕駛汽車等等，也可能會(huì)帶來更多的麻煩。因?yàn)?，?duì)于商業(yè)互聯(lián)網(wǎng)公司來說，智能設(shè)備最大的商業(yè)價(jià)值不僅僅是硬件產(chǎn)品的利潤，更多的可能來自于數(shù)據(jù)的積累，并且更大的價(jià)值很可能還來自于基于每個(gè)個(gè)體的數(shù)據(jù)匯聚而成的大數(shù)據(jù)挖掘。

而在這個(gè)數(shù)據(jù)積累和挖掘的過程當(dāng)中，智能設(shè)備將由此紀(jì)錄和沉淀更多關(guān)于人們的生活數(shù)據(jù)，不僅僅是消費(fèi)數(shù)據(jù)，還可能會(huì)記錄行走軌跡，家庭信息，工作情況等等更加隱私的信息，而一旦這些信息被一些旨在作惡的網(wǎng)絡(luò)黑客獲取，不僅僅可能直接給人們帶來財(cái)產(chǎn)的損失，還可能會(huì)危及人們的生命安全。

隨著網(wǎng)絡(luò)的發(fā)達(dá)和智能技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全問題將日益突出。經(jīng)過近幾年的安全事件，業(yè)界應(yīng)該更加清醒的意識(shí)到，現(xiàn)在的黑客已經(jīng)不是單兵作戰(zhàn)的，而是組建了能力更加全面的黑客團(tuán)隊(duì)。因此，網(wǎng)終安全之路還任重道遠(yuǎn)。X