最近,XcodeGhost入侵蘋果iOS事件在業內引起不小震動。事件起因為不知名黑客向iOS應用開發工具Xcode植入惡意程序,通過開發人員之手傳播被感染的App并以此劫持蘋果用戶相關信息。來自多個安全團隊數據顯示,病毒感染波及AppStore下載量最高的5000個App其中的76個,保守估計受影響用戶數超過一億。
由病毒感染源、傳播途徑、傳播方式以及波及范圍來看,XcodeGhost事件毫無疑問已是移動互聯以來威脅最大、影響最深的移動操作系統安全事件。事情發生多天之后,整個業界沉浸在一片熱議和反思之中,更多人表現出的是不停抱怨。有人抱怨蘋果官方審核不力,有人抱怨開發者工作不慎,更有人抱怨用戶安全意識不高。我們認為,此次XcodeGhost事件非比尋常,其當事任何一方都難以獨自承擔責任之重。
● 黑客詭異布局,防不勝防
此次安全事件感染源在于蘋果集成開發工具Xcode,借程序員之手將惡意代碼植入正在編譯的App之中,相比直接將惡意代碼植入應用程序中為數眾多的安全案例而言,這種情況實屬少見且防不勝防。
黑客為什么選擇Xcode作為感染源,從網上透露的各種開發社區、人氣下載站的數十個版本的Xcode均被植入惡意代碼一事可見,黑客對國內Xcode用戶(開發者)熱衷于通過非官方渠道下載IDE的習慣了如指掌。
為什么選擇蘋果用戶下手?無非為了更豐厚的利益。根據央視對此次事件的“黑產”報道,加之蘋果手機所處的高端優勢地位意味著其用戶群體相對具有更高的信息價值,而黑客的行為動機亦可見一斑。由此可見XcodeGhost事件是一次精心策劃的黑客行為,其布局詭異、來之突然令人猝不及防。
● 開發者疏于防備,大公司怠于制度
事件中的開發者是無心的,他們是被利用的一方。至于開發者為什么習慣于通過非官方平臺下載Xcode也有著特殊原因。我們知道蘋果提供了Xcode免費下載渠道,然而許多開發者經常抱怨Mac App Store不僅打開慢,下載速度更是慢得讓人無法忍受。由于蘋果官網服務器架設在國外,而國內網民數量巨大,國際出口帶寬已達4717761Mbps,加之訪問國外站點需經過更多路由節點,速度慢那是必然的。就算是情況較好的bing,你ping它試試,依然比國內主流網站慢上20—200ms。這是一個普遍現象。
既然如此,就由不得開發者去百度其他下載鏈接,無意中鉆進了黑客的陷阱。另外,國內的程序員大多有個不好的習慣,下完重要的東西后經常忘了MD5和SHA1校驗,在帶寬資源遠比今天貧瘠的年代我們尚在培養好的下載習慣,如今這種好的習慣卻被漸漸忘卻。
另外,照理說大公司的技術部門一般都有嚴格的作業制度,重要的軟件、配置、開發工具之類必須事先存儲于內網服務器或是NAS、SAN之上以供分發,并按時檢查更新。然而,從主流應用被大量感染的結果來看,想必是這些日常制度都被怠慢了。
● 蘋果方無可厚非,但仍有責任
許多人將此次事件歸咎于蘋果公司,認為蘋果夸大了iOS封閉系統的安全性,事實上這并無可厚非,殊不知世上本無絕對安全的操作系統。網絡安全與操作系統本身并無直接關聯,所謂樹大招風,在操作系統安全史上有著很好的詮釋。PC時代一些醉心于類unix的開發者總是不停褒美著Linux系統的安全性,事實上,并非Linux真的比Windows安全,而是Linux的用戶實在是少數,針對Linux的安全案例同樣是少數。同理,移動時代與PC Windows一脈相承的WP系統亦很少有安全問題上的案例。
另外,蘋果公司在操作系統研發功底與沉淀上技術實力遠不如微軟,面對系統級安全一時失語尚不為過,但其補救姍姍來遲和過于消極的態度就顯得不夠誠意。至少,蘋果在App審核不力上仍有一定責任。
● 普通用戶是最大受害者
用戶是最無辜的,而普通用戶是最大的受害者。為什么說是普通用戶?眾所周知,蘋果產品依靠高端品牌、注重體驗與大走時尚、奢侈品路線而吸引了眾多粉絲,一個有趣的現象是,許多外媒認為蘋果用戶是最愛慕虛榮和不懂技術的科技產品使用群體,俗稱IT“小白”,這與PC時代隨著軟硬件技術一點點成長起來的“老鳥”而言,大多數蘋果用戶就顯得“普通”多了。
來自國外一家某安全團隊抽樣調查數據顯示:有40%的蘋果用戶無法找到iTunes下載并完成安裝(windows系統?),超過75%的用戶不會更改、設置iPhone/iPad的靜態ip地址。正是這樣的“普通”用戶群體,在信息網絡安全事件面前,缺乏安全意識和必要的操作知識使他們完全變成了無助的羔羊。
小結
問題爆發數日之后,蘋果公司終于作出正面回應并下架所有問題App,各主流應用開發者及時更新替換了被感染的程序,各方安全團隊亦對問題繼續跟進。但是這并沒有結束,事件仍在繼續發酵,初見端倪的XcodeGhost或許只是冰山一角。
然而事件的所有見證者都必須重視的是,信息與網絡安全是整個業界必須共同承擔的大事,即便是蘋果、微軟這樣的巨頭也難以獨自承受其重。假使程序員多一些強迫癥式的“潔癖”,技術部門的日常制度不再流于形式,用戶多學一些安全知識,蘋果對iOS的安全性亦能止步于吹噓,那么對類似XcodeGhost問題的防御也能隨之加強。
京公網安備 11010502049343號