這幾天，蘋果的安全門事件可謂是沸沸揚揚，受關注度可謂是空前但不絕后。而之所以受到空前關注，其主要原因是曾經在我們腦海中的一個安全“神話”被打破了。一直以來，大家心里總認為安卓系統是裸奔，蘋果系統則相對比較安全，只要用戶不要隨意越獄，基本上是可以忽略對安全問題的擔憂。結果這一神話卻被XCodeGhost這一木馬給打破了。這不僅激起了業內的大討論，更吸引了大家的共同關注，畢竟蘋果的用戶量還是非常龐大的。

實際上，在9月14日，國家互聯網應急中心就已經發布了“關于使用非蘋果官方Xcode存在植入惡意代碼情況的預警通報”；之后于9月17日，烏云網和硅谷安全公司PaloAlto發布安全預警并提醒開發者小心，并指出XCodeGhost雖然沒有非常嚴重的惡意行為，但是這種病毒傳播方式在iOS上還是首次；直到9月18日，由“XCodeGhost”事件所引發的蘋果安全門事件被證實，并且由相關的安全平臺對蘋果的APP進行了各種監測、統計，幾乎可以用“全軍覆沒”來形容，覆蓋了我們常用的大部分APP，如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。

蘋果APP一旦被感染了病毒之后，其后果遠超出我們想象。黑客幾乎可以通過遠程的方式完成所有事情：打電話、發短信、打開第三方APP進行操作，甚至要想獲取用戶手機中的信息，或由一些個人特殊愛好的照片，那都是輕而易舉的事情。那么這次蘋果的安全門事件到底是怎么發生的？

蘋果安全門到底是怎么發生的？

我們都知道蘋果AppStore里的各種應用都是由蘋果審核發布的，并且需要采用蘋果自家所提供的Xcode代碼進行開發，正是基于這兩方面的原因促使了蘋果系統相對于安卓的安全性能要高很多。而此時能夠對蘋果APP造成沖擊的機會只有兩方面：一是直接攻擊蘋果的IOS操作系統，而這樣做顯然并不明智，這就意味著告訴蘋果公司我在攻擊你，并促使蘋果公司做出保護措施；二是借助于APP的開發代碼，在開發代碼中植入相應的病毒，當開發者使用了這個代碼進行開發時，其后果當然就是等著中槍。按理說這種方式也很難成功，因為蘋果所發布的源代碼是在自己的服務器上，黑客們在這個環節的下手也很容易會被蘋果公司發現。

在這種高規格的封閉保護體系下，蘋果門又是如何被制造出來的呢？那就是我們所賴以開發的源代碼被篡改過。也就是說目前國內大部分的蘋果APP開發者所開發的Xcode源代碼并不是源代碼，而是被動了手腳的“原”代碼。這個問題與我們國情下的網絡監管有一定的關系，我們在國內的“局域網”范圍內訪問相關的網站，速度相對可行，但要訪問“局域網”外的一些網站，通常是不可行的，即使有個別可行，那么其訪問速度也是相對比較“龜速”。當然，翻墻的除外。

這也就意味著國內的開發者要想直接通過訪問蘋果公司的網站來獲取Xcode，這就變成了一件相對困難的事情，因為Xcode是一個具有幾GB的大容量源代碼，要想下載下來并非易事。于是就有人看到了這個“痛點”，就在Xcode的基礎上做了點小動作，也就是我們今天所看到的XcodeGhost木馬。之后將這個帶有XcodeGhost木馬的Xcode通過各種渠道發布到了國內的各種平臺上供開發者下載。

蘋果APP的開發者通常是項目制的，不論是外包或是自行開發。接到了相應的開發項目之后，開發者為了快速完成任務，必然會找比較快捷的途徑選擇Xcode的源代碼，往往忽略了對這個源代碼的可靠性進行核實。與其說忽略了核實，倒不如理解為對于國內的開發者來說根本難以核實，因為我們連真的都還沒見到過，何談問題的辨識。那么，當我們基于這種非源代碼所開發的APP應用，在開發完成的時候就已經成為“病毒”攜帶者。

這到底是誰的問題？

面對這次事件的發生，顯然我們需要透過這次事件來思考到底是哪些環節出了問題，或者說到底是誰的責任導致了這樣一次安全門事件的發生，在我看來蘋果公司是問題的核心。

按理說，如果蘋果公司能夠也應該在對應用審核時多留個“心眼”，特別是對于來自于中國的應用。當然我將這句話并不是詆毀我們這個民族，而是我們這個民族中總有一些人喜歡給自己人挖坑，喜歡給自己人抹黑，就如地溝油、三聚氰胺一樣。遺憾的是蘋果公司太“善良”，忽略了我們對其源代碼進行改造的能力，在最終APP進入AppStore的環節中缺失了對木馬病毒做更深入的檢查，于是就導致了今天蘋果安全門事件的發生。

其次，蘋果公司沒有根據不同國家的國情來因地制宜完善他們的管理體系，蘋果公司非常清楚我們的國情以及我們的監管體系，因為AppStore在中國本身就是一種本土化的AppStore，與境外的AppStore是有區別的，在國內注冊的AppStore到了國外之后有很多應用程序是被禁止下載的。面對這種現實狀況，蘋果公司應該針對中國市場進行“本土化”，至少說面對這個源程序，要么與有關部門協商，減少限制；要么就在中國架設服務器來提供相應的服務。

但從這次事件來看，顯然從蘋果公司的層面來看，盡管庫克一直以來表現出對中國市場的重視，但其重視程度或許更多的只是體現在銷售上，而不是真正的市場層面，缺乏針對中國市場進行的相應投入。當然，從監管的層面來看，有關部門也有責任，如果不是“過度”的局域網情況，或許也就不會給木馬開發者留下機會。而對于木馬的開發者而言，這種行為顯然是種錯誤。

凸顯物聯網時代的心病

蘋果這次的安全門事件凸顯的并不是蘋果本身的問題，而是即將到來的整個物聯網時代的問題。根據阿卡邁技術公司（Akamai Technologies, Inc.，以下簡稱：Akamai）發布的《2015年第二季度互聯網發展狀況安全報告》來看，在過去三個季度內，DDoS攻擊量同比增長了一倍。2015年第二季度，盡管攻擊者傾向于發起不太強烈但持續時間較長的攻擊，但危險的大規模攻擊數量持續上升；12起攻擊的峰值流量超過了100 Gbps，5起攻擊的包轉發率峰值超過了50 Mpps。只有極少數的企業能夠以一己之力承受住這樣的攻擊。

隨著物聯網時代的到來，當包括人在內的萬物都智能化、數據化、云端化之后，當產品的價值由過去基于前端硬件本身的利益獲取轉向后端的數據挖掘進行實現時，必然將激發黑客市場。在智能硬件時代之前，我們的產品只是基于產品本身的硬件來思考其是否會發生質量安全問題；但在智能硬件時代，產品硬件本身并不承載價值的核心，而只是價值的一個載體，大部分的價值將借助于軟件應用來實現、來挖掘。

這種價值被轉移之后，必然就會促使更多人關注軟層面的價值獲取。哪里有價值哪里就會有關注，這是商業社會中人在利益驅使下的一種本能。如何保障數據、信息安全，則是大數據時代的一大挑戰。而蘋果這次的事件可以說只是這個時代的一個縮影事件。

通過這次事件至少給了我們幾點啟示：一是對于系統、平臺服務商來說，沒有完美到無懈可擊的“安全”系統，只有一個階段的“安全”系統，要想維持系統的持續安全性，就必須不斷地在技術層面加強安全提升；二是各國政府需要在物聯網時代加強合作，盡快出臺相關的監管法律法規，借助于法律法規來約束、降低“安全”風險；三是對各智能硬件領域廠家而言，我們今天都在借助于軟件層面，也就是各種APP的應用來實現智能化，來挖掘硬件產品本身的潛在價值，那么如何從自身的軟件、硬件層面來給安全增加一道防線，這將是2016年產品開發者的重點方向。

受傷最大的是安卓

盡管這次事件看起來是蘋果中招了，但冷靜地想想，受傷最大的并不是蘋果，而是安卓。或許很多人在竊喜“果粉”們終于中招了，豈不知除果粉之外的各種“粉”的危機更大。我們都知道蘋果是一個相對比較封閉的系統，其上面所發布的應用采用的是相對嚴格的審核制，這種相對嚴格、封閉的體系在今天都會出現問題，那么這個開放的安卓系統，其背后潛伏著的危機將會有多恐怖。

隨著智能手機使用率的上升，病毒的趨勢也從PC轉向了手機。據獵豹移動安全實驗室發布的《2014-2015中國互聯網安全研究報告》顯示，2014年全球感染病毒的安卓手機計2.8億部，平均每天80萬部安卓手機中毒，中國以近1.2億部手機中毒高居榜首，中國已成為全球受安卓病毒之害最嚴重的國家。

這組數據還只是2014年一個機構的監測數據，如果把各自監測數據都綜合起來，其后果恐怕就是今天的安卓系統集體中槍。不論各基于安卓系統的手機品牌承認與否，用戶的數據信息基本難以獲得有效保護，各種惡意軟件與應用更是防不勝防。不過這也激發了另外一個市場，也就是基于移動終端智能產品的安全軟件，這個市場的需求將會隨著物聯網時代的爆發而共同爆發。

智能時代的消費者權益誰來保護

回顧歷史，互聯網領域的安全事件時有發生，但對于給用戶造成的損失似乎從來就沒有一個說法。這其中反映出了一個市場監管滯后的問題，也就是說我們在互聯網+時代的消費者權利保障體系嚴重缺位。基于互聯網+為載體的產品，其本質也是一種產品，只是與過去的硬產品不同，其借助于互聯網這一信息化手段“軟”化了。

在過去硬產品時代，對于各種產品的質量，我們有相對健全的保障體系，尤其是對于消費者的權益保障。但是面對互聯網+大行其道的今天，各種基于互聯網改造的軟產品不斷豐富，我們的生活與消費也從過去依賴于硬產品為主的方式轉向于今天依賴于軟產品為核心，那么當這些產品在使用過程中出現了相關的“質量”問題，或者是安全問題，是否應該給消費者一個說法，是否應該給予消費者一種正常的“權利”。

過去基于硬產品的生活、消費模式如果出現了產品質量問題，無非是圍繞產品造成了一些不便。但今天圍繞著軟應用產品出現了質量問題、信息安全問題，其對用戶所造成的損失與困擾將是更加嚴重和深遠，甚至牽涉到公民隱私權的問題。因此，我倡議有關部門應該盡快出臺基于互聯網+的相關監管法規，尤其是牽涉到公民權利部分：一方面是為了維護公民的權利；另外一方面則是約束相關的企業加強責任意識，在獲取商業利益的同時必須承擔起保護用戶隱私、安全的責任。

蘋果的事件不會是終點，我們在使用相關軟產品時，一旦這些產品出現了問題，相關企業是否應該承擔相應的責任，是否應該給用戶一個說法。總不能一直這樣“沉默”下去，把用戶的隱私信息不當回事，這顯然是不合適的。我認為不僅要對信息的保護與泄露要有說法，同時有關部門還要形成對信息泄露的責任追溯，這才能有效的降低用戶使用軟件產品的風險，以及降低由此所帶來的傷害。