蘋果應(yīng)用商店遭病毒入侵 網(wǎng)絡(luò)安全之殤仍待解
發(fā)布時間:2015-10-09這邊廂蘋果iPhone 6S賣得熱火朝天,,那邊廂APP Store遭遇了自上線以來堪稱最大規(guī)模的攻擊,。據(jù)《北京日報》近日報道,此次蘋果上百款A(yù)PP感染了XcodeGhost木馬,,包括微信,、百度音樂,、網(wǎng)易云音樂、滴滴出行等知名APP均被滲透,。
目前,蘋果已經(jīng)將受感染的APP下架,也關(guān)閉了木馬制造者用于接收竊取信息的服務(wù)器,。值得一提的是,,蘋果強(qiáng)調(diào)此次事件未造成用戶的信息泄露,但仍難無法改變用戶對于手機(jī)信息安全的擔(dān)憂,。此番蘋果事件給用戶一個深刻的領(lǐng)悟,,在APP上線之前,除了開發(fā)及編譯工具應(yīng)該是需要重兵把守城門之外,,還需要國產(chǎn)操作系統(tǒng)的繼續(xù)努力,。當(dāng)然,對于用戶來說,,及時衡量網(wǎng)絡(luò)行為,,提高網(wǎng)絡(luò)安全意識,才能減少類似事件的發(fā)生,。
蘋果APP Store被植入惡意程序
隨著智能手機(jī)的逐漸普及,,手機(jī)木馬病毒也開始蠢蠢欲動紛紛瞄準(zhǔn)人們越來越離不開的智能手機(jī)。除了安卓手機(jī)經(jīng)常被曝出中病木馬毒外,,近日蘋果的APP Store也難逃一劫,。
近日,CNCERT發(fā)布了一篇《關(guān)于使用非蘋果官方XCODE存在植入惡意代碼情況的預(yù)警通報》,,聲稱開發(fā)者使用非蘋果公司官方渠道的XCODE工具開發(fā)蘋果應(yīng)用程序(蘋果APP)時,,會向正常的蘋果APP中植入惡意代碼。
這也意味著,,從第三方源下載的Xcode(蘋果平臺IDE)被植入惡意代碼,,使用受感染的Xcode編譯、生成的應(yīng)用中會被植入后門,,包括:iOS,,iPhone模擬器,Mac OS X,。而被植入惡意代碼的iOS應(yīng)用會向服務(wù)器上傳信息,,具體信息包括:時間、應(yīng)用名字,、應(yīng)用標(biāo)識ID,、設(shè)備名字與類型、系統(tǒng)區(qū)域及語言,、設(shè)備唯一標(biāo)識UUID,、網(wǎng)絡(luò)類型。當(dāng)用戶上傳至AppStore并被用戶下載安裝,,就會偷偷上傳軟件包名,、應(yīng)用名,、系統(tǒng)版本、語言,、國家等基本信息,。
針對蘋果應(yīng)用商店被曝有部分應(yīng)用程序感染了惡意代碼,美國蘋果公司也證實(shí),,其官方開發(fā)工具軟件Xcode遭到黑客攻擊和修改,,致使用其開發(fā)的很多應(yīng)用程序也被感染。不過,,蘋果還表示其已從應(yīng)用商店刪除了這些被植入惡意代碼的應(yīng)用,。
據(jù)360NirvanTeam提供的最新數(shù)據(jù)顯示,共發(fā)現(xiàn)1077款A(yù)PP感染XcodeGhost木馬,,其中不乏百度音樂,、微信、滴滴,、12306,、名片全能王、憤怒的小鳥2等用戶量極大的APP,,涉及互聯(lián)網(wǎng),、金融、鐵路航空,、游戲等領(lǐng)域,。
用戶信息安全堪憂
蘋果XcodeGhost惡意程序事件不禁令人想起去年同期,由于iCloud漏洞引起的多位好萊塢明星私照被曝光的事件,。諸多果粉心生疑慮,,蘋果產(chǎn)品標(biāo)榜的“安全”性能難道不復(fù)存在了嗎?
人民網(wǎng)此前報道,,蘋果公司于2014年7月承認(rèn),,可以通過一項未公開的技術(shù)獲取iPhone用戶的短信、通訊錄和照片等個人數(shù)據(jù),,但否認(rèn)為情報部門服務(wù),。事實(shí)上,在去年iCloud 事件發(fā)生后,,多國“禁令”使用蘋果產(chǎn)品,,譬如俄羅斯甚至立法規(guī)定從2015年1月起禁止使用蘋果公司產(chǎn)品。雖然蘋果表示此次應(yīng)用商店事件未對用戶信息造成損害,,但用戶使用了被植入XcodeGhost惡意代碼的APP后,,APP會自動向病毒制造者的服務(wù)器上傳諸如手機(jī)型號、系統(tǒng)版本,、應(yīng)用名稱,、應(yīng)用使用時間,、系統(tǒng)語言等隱私信息。因此,,用戶對信息安全的隱憂仍無法消除,。
微博網(wǎng)友“唐巧_boy”稱:“XcodeGhost這件事情,蘋果自己也有責(zé)任,,Mac App Store下載速度慢得要死,每次下Xcode花個幾十分鐘非常正常,,這才造成大家都用迅雷和百度網(wǎng)盤這種非官方渠道,。就說現(xiàn)在吧,我的Mac系統(tǒng)更新了一上午,,還是處于卡頓無進(jìn)度狀態(tài),。”此外,, 安言咨詢總經(jīng)理張耀疆認(rèn)為,,“蘋果商店的事件反映了一種潛在風(fēng)險,即在用戶甚至開發(fā)商不知曉的情況下,,也有泄露所有個人信息的可能性,。即使這次解決了,開發(fā)者也很難保證下次不出現(xiàn)類似問題,,因為這不是一家能解決的問題,,而是整個移動開發(fā)鏈條上的問題?!?/span>
信息安全需未雨綢繆
移動互聯(lián)網(wǎng)的快速發(fā)展,,雖然便捷了人與人之間的距離,但信息安全也一躍成為了議論焦點(diǎn),。蘋果XcodeGhost木馬事件背后,,用戶的信息安全隱憂值得深思,如何正確地利用好互聯(lián)網(wǎng),,是當(dāng)前急需解決的問題,。
第一,不論是蘋果系統(tǒng)的安全隱患還是安卓手機(jī)木馬病毒,,對于保障國人的信息安全所需要的是自己開發(fā)出優(yōu)秀的國產(chǎn)手機(jī)操作系統(tǒng),。此前Windows10操作系統(tǒng)也被指出存在安全漏洞,騰訊電腦管家和360甚至相繼發(fā)布公告,,暫緩Windows10升級助手服務(wù),。如果不使用我國自主研發(fā)的操作系統(tǒng),系統(tǒng)的后門鑰匙始終掌握在別人手里,,那么我國的信息安全保障就如同失去了屏障,。
第二,,應(yīng)用開發(fā)者要有足夠的安全意識,堅守第一道防線,。開發(fā)者應(yīng)當(dāng)從源頭予以保證,,包括代碼來源的安全干凈及使用正版蘋果系統(tǒng)。
第三,,有關(guān)部門應(yīng)建立必要的安全管理機(jī)制,。近日,中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告2015》顯示,,我國有78.2%的網(wǎng)民個人身份信息被泄露,。這就要求有關(guān)部門對網(wǎng)絡(luò)安全管理機(jī)制的建立和把控放在一定的高度上才是良策。當(dāng)然,,維護(hù)網(wǎng)絡(luò)安全,,僅靠相關(guān)部門的力量遠(yuǎn)遠(yuǎn)不夠,還需企業(yè)與個人的多方努力,,自律與他律多措并舉,。
