北京时间9月21日上午,苹果首次对最近闹得沸沸扬扬的“XcodeGhost木马事件”做出正式回应。
苹果方面表示:“Apple极其重视安全;iOS设计的出发点就是可靠性和安全性。我们为开发者提供业界最先进的工具创造绝佳的App。基于非信任渠道发布的这些工具中的一个错误版本开发的App有可能对用户安全造成威胁。为了保护用户,我们已经将由该错误软件开发的App从App Store撤下,并正与开发者共同努力确保使用正确版本的Xcode重建他们的App。”
9月17日之后的那个周末,苹果在中国爆发了有史以来最大的安全危机。因为iOS应用开发者们的开发工具“中毒”,大量用户常用的知名应用被曝光感染木马。
根据目前公开的信息,这个名为XcodeGhost的木马能获取用户的各种基本信息,包括应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设别名称和设备类型等。
看起来这些信息都非常“基础”,而且到目前为止,并没有爆出有用户因为这个漏洞蒙受损失。
但也许危机不止于此。
腾讯安全应急响应中心9月19日发布了一篇文章全面分析了XcodeGhost病毒的作用和可能的危害。这篇文章指出,这个木马不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还能远程弹窗骗取用户更多信息。
“这应当是App Store自2008年上线以来遭受的规模最大的攻击,涉及应用之广已经完全超过想象,若非发现及时,此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后,可能成为中国历史甚至世界历史上涉案金额最高的黑客事件之一。”知乎上一个名为yang leonier的用户评论。
谁该对此负责?主要责任肯定是那些使用非官方开发工具的应用开发者。
此次木马“杀伤面”如此之广,是因为大量开发者使用的“工具”Xcode出了问题。
开发iOS应用,有一款开发工具必不可少,就是苹果自家出的Xcode——它负责把源代码编译为可执行的应用,开发者才能把应用上传到苹果应用商店后台,经过苹果官方审核后,在应用商店App Store上架,正式开放下载。
按常理来说,开发者们都应该去苹果的官方地址下载Xcode。但现实情况是,出问题的应用开发者们都是使用的第三方渠道下载的Xcode编译软件。
其中一点理由是,第三方编译器比官方网站的功能更为丰富,这些功能都是民间编码高手自行开发出来的,开发者用这种第三方编译器更为方便。
“程序员使用第三方编译器,就像一个人造汽车,他选择去外面购买轮胎,而不是自己造一个轮胎。”赛门铁克一名从事网络安全的软件工程师这样解释软件程序员使用第三方编译器,即一些标准化的工作交给工具来完成。
但是更多的中国开发者使用Xcode是因为一个更为简单的理由,图下载方便。
“这个工具有2G多,国内的网络由于一些原因,和苹果服务器连接非常困难,十多分钟就要断一次。”有开发者向界面新闻表示,所以从第三方渠道下载成为很多程序员图方便的选择。
“基本上我身边所有的开发者都不会使用官方的,而去一些论坛或者百度网盘之类的第三方网站下载这个编译器。”国内一家安全厂商的员工告诉界面新闻记者。
但这次XcodeGhost危机却实实在在给这些开发者们上了一课,即使官方版开发工具下载再怎么不方便,也不能不经校验就直接使用未知渠道的Xcode。
当然,苹果也应该做出改进。
第一批在微博上曝光XcodeGhost漏洞的iOS开发工程师唐巧认为,既然中国已经成为苹果最大的海外市场,苹果应当在中国多部署几个服务器,能够减少程序员在第三方下载编译器的几率。
另外,即使开发者层面出了问题,苹果的应用审查机制应该有能力,而且也有责任查出带有木马的应用。
“我们大部分同事都认为苹果对此事件负有责任,在上架审查的时候不够严格。”前述国内安全厂商人士认为,此次木马程序应该就是抓住了苹果审核比较薄弱的环节或者说他们审核的漏洞,也有可能苹果对于来自腾讯、网易这样大团队制作的应用审核更为松懈,因为有信用在。
但也有持有相反意见的,认为苹果并不需要为此次事件负责。
“实际上这件事情跟苹果没有太大的关系,审查有个度,需要在‘安全性’和‘可用性’之间做一些平衡。”赛门铁克一位员工向界面新闻表示,苹果安全审查相对来说较为严格,虽然出现了漏洞,但如果过于严格,应用上架审查流程过于复杂,可能会造成市场上应用缺乏的状况,也难以和竞争对手抗衡。
就在9月19日凌晨,在新浪微博上,一个名为“XcodeGhost-Author”的作者发布声明称,此次事件源于自己的实验,没有任何威胁性行为。同时,他还公布了源代码,证明自己是插件的作者。人们无法证实该作者就是此次事件的始作俑者,而且事件的危害也许并不能像这位作者掩饰的一样轻描淡写。
更重要的是,怎么预防下一次攻击?
一直以来,苹果系统爆发的安全事件较少,被认为十分安全,而此次恶意程序事件表明,“没有绝对安全的系统。”
赛门铁克工作人员表示,“也不能说此次攻击者就格外高明,安全事件的发生只是概率问题。”实际上针对苹果系统的攻击时时刻刻都在发生,而一段恶意代码能够成功植入,逃过第三方审查,也逃过了程序员审查,并最终逃过苹果官方审查,说明这个机制还是有不小漏洞。这或许值得所有人反思。
也许通过此次事件,我们该认识到的是,没有绝对安全的网络世界。而苹果也应该做更多的努力,重拾人们的信任。
出处:界面