最近這幾天,蘋果的安全神話被打破,在AppStore上架的上千個APP被注入Xcode第三方惡意代碼,會將用戶信息發送到病毒作者服務器,受影響的用戶可能達到一億。
據悉,事件源于阿里移動安全資深工程師蒸米發布在烏云的一則分析報告《Xcode編譯器里有鬼-XcodeGhost樣本分析》,這份純粹的技術分析報告引爆中國iOS生態圈。該報告指出,在第三方渠道下載的iOS開發工具Xcode被插入惡意代碼,通過該惡意Xcode編譯的APP會把手機隱私信息,如時間、bundleid(包名)、應用名稱、系統版本、語言、國家等,發送到病毒作者的服務器上,導致用戶信息被大規模泄漏。
截至發稿前,受XcodeGhost事件影響的APP近千,包括微信、網易云音樂、網易公開課、我叫MT、同花順、名片全能王、憤怒的小鳥2等等比較熟知的應用。阿里移動安全建議廣大用戶及時刪除中毒APP,待更新升級確保安全后再安裝使用。開發者如需使用,務必從蘋果官方渠道下載Xcode。
記者連線阿里移動安全總監行中,他表示,該病毒不止上傳手機應用信息,還擁有更多的能力,它們有可能在iPhone/iPad上彈出釣魚網站頁面來騙取iCloud帳號密碼,或者其他關鍵信息。基于安全的考慮,用戶最好對涉及到的密碼、支付方式等進行修改。
在談到受感染APP的同時,記者發現,阿里一些核心應用如手機淘寶和支付寶錢包等均逃過此劫,未受影響。對此,阿里移動安全表示,阿里系復雜的應用類型以及龐大的應用發布數量,不斷地對阿里移動安全的流程和產品提出更高的要求,阿里聚安全平臺(http://jaq.alibaba.com)應運而生。阿里聚安全擁有App風險掃描和漏洞檢測響應機制,加上嚴謹的安全流程服務和統一集成打包上線平臺“摩天輪”,能夠安全穩定的保障阿里巴巴龐大的業務應用基礎能力及無線安全的能力。
行中強調,阿里聚安全嚴謹的安全流程服務主要通過遵循阿里的安全編碼審查實踐,安全架構設計及審查服務SDL標準,覆蓋APP開發全流程的SDL標準化服務接入,除此之外,“摩天輪”是阿里巴巴統一的集成打包上線平臺,從項目設計所需的安全審計、無線應用開發遵循的安全模型、業務模塊化、應用安全集成,安全能力的底層集成打包、發布均遵循統一的發布標準。以上一系列舉措,是阿里安全能夠從容應對類似XcodeGhost等各類安全事件的秘密武器,實時保護用戶的切身安全。
事實上,中小開發者很少有能力做好復雜的安全防護工作,所以阿里已經把聚安全平臺(http://jaq.alibaba.com)對外開放,希望能夠向更多開發者和企業分享多年積淀的安全防護能力和體系。
關于阿里聚安全
阿里系復雜的應用類型以及龐大的應用發布數量,不斷地對阿里移動安全的流程和產品提出更高的要求,阿里聚安全平臺應運而生。阿里聚安全(http://jaq.alibaba.com)擁有App風險掃描和漏洞檢測響應機制,加上嚴謹的安全流程服務和統一集成打包上線平臺“摩天輪”,能夠穩定的保障阿里巴巴龐大的業務應用基礎能力及無線安全的能力,從容應對各類安全事件。
1.通過長期有效專業的App風險掃描:依托于阿里專利保護的應用漏洞掃描引擎,檢測隱藏在代碼中的后門和惡意代碼;
2.統一的集成打包上線平臺“摩天輪”:從項目設計所需的安全審計、無線應用開發遵循的安全模型、業務模塊化、應用安全集成,安全能力的底層集成打包、發布均遵循統一的發布標準。
3.阿里聚安全擁有嚴謹的安全流程服務:通過遵循阿里的安全編碼審計實踐,安全架構設計及審查服務SDL標準;覆蓋APP開發全流程的SDL標準化服務接入;長期的安全知識和安全意識的培訓,來保障應用的開發安全。
4.漏洞檢測及響應服務,針對全球漏洞平臺進行檢測,跟蹤,專業的分析和預警,在第一時間內了解漏洞真相并提供專業的漏洞響應方案。我們也通過輸出各種維度的漏洞預警和響應機制,讓客戶和行業快速獲取漏洞信息及修復方案,最大程度保護用戶安全。
京公網安備 11010502049343號