精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

從蘋果社區論壇下載了個Xcode編譯工具，卻不小心讓自己辛辛苦苦編寫的App中了毒?最近幾天，這個消息已經在朋友圈、新浪微博和各個新聞媒體刷屏了好幾輪。

這也許是迄今為止，所有蘋果應用開發者共同抵御黑客攻擊的一次最大規模戰役。在中標的名單中，更多的應用以天，甚至以小時的速度在不斷被刷新。

而很多云端存儲工具、下載工具“躺槍”，被用來傳播Xcode-Ghost的工具。

百度云的應急響應

9月18日，來自Palo Alto Networks和Apple Security Team的關于XcodeGhost的信息，立刻引起了百度的重視，信息提及黑客利用網盤存儲惡意工具，在很多非官方蘋果社區論壇傳播。

接到信息后，百度立即啟動了最高安全緊急響應流程，清查并關閉云盤上所有感染文件共享，并與友商密切合作，交換威脅情報，追溯傳染源。據了解，現在網盤的受感染文件都已經被清理。

下載工具也是傳播途徑

幾天前，有網友吐槽用官方URL下載到了含惡意代碼的Xcode。可能大多數人并沒有注意到這條消息，百度安全實驗室X-TEAM負責人王宇十分敏感，第一反應是下載工具的離線資源可能被污染了，并且很快就驗證的確存在這種可能性。通過排查，國內的多個知名下載工具都“躺槍”了。

“現在可以判斷，污染下載渠道這種攻擊方式的強大和影響程度，要遠遠超過Xcode被替換事件本身。因為到底有多少官方下載鏈接資源被污染?外界很難統計清楚?，F在我們掌握的情況，只是冰山一角。”王宇得出這個細思恐極的結論。

0day防護計劃幫應用“滅火”

在百度安全實驗室通報了這一發現之后，百度云安全立即啟動了0day防護計劃，與迅雷等受影響的應用取得聯系，向對方提供相關漏洞信息。百度云安全方面表示，相關的漏洞細節需要等迅雷等廠商修復之后才會公布。

據了解，由于此次黑客攻擊的是用戶的客戶端App，百度云安全通過0day防護計劃，以最快的速度了解了事件的來龍去脈，以及受影響的用戶范圍，已經跟多家廠商取得聯系，以期盡快解除用戶的安全威脅。

百度云安全總經理馬杰表示，百度云加速3.0、百度安全寶的用戶已經自動被納入到0day防護計劃的保護中。“我們也非常歡迎更多合作伙伴、企業加入這個計劃中，與我們一起共同應對未知威脅，保護用戶的安全。”

工具警惕被人“當槍使”

百度安全提示，關于此次事件的嚴重性，我們不應該僅僅是關注事件本身，更應該深層次思考事件背后透露的信息：

首先，網盤、迅雷等都是深受用戶喜愛的網絡工具，擁有億級以上的用戶。而同類型的產品在網上還有很多。此次事件非常典型，說明對于上傳文件和下載內容，服務提供商應該在尊重用戶隱私的基礎上，提高安全檢測的門檻，防止被黑客“當槍使”。

其次，種種跡象表明，這次事件顯然是經過了詳細周密的策劃，并非黑客在澄清微博中說的“僅為測試”：第一，黑客注冊了沒有泄漏任何關鍵信息的域名;第二，據悉，此團隊在Amazon上租用了AWS云主機，每月花費高昂的費用(有逃避國內追查的嫌疑);第三，黑客在澄清微博中刻意隱瞞了三個重要信息，包括用釣魚提示框騙取用戶輸入用戶名和密碼，劫持官方URL并且在代碼中植入廣告后門，以及記錄用戶在剪切板上的用戶名和密碼等關鍵信息。

第三，我們更應該關注，污染包括下載工具、運營商下載通道等在內的下載途徑，已經成為地下黑色產業鏈牟利的重要方法，這可以大大增加惡意軟件的影響范圍。在普通用戶吐槽網盤、迅雷的時候，可能并不明白其實他們也是這次事件的受害者。因此，相關企業應該徹查安全隱患，排除脆弱點，對自身的安全體系和安全管理進行完善。