本周各大媒體的科技頭條又被蘋果給霸占了，倒不是因為這家公司發布了什么新產品，而是因為“XcodeGhost感染門”事件持續發酵，一時間讓不少人對“一向以安全性自居”的蘋果突然有了一個“新的認識”。

事實上，蘋果挺冤的——XcodeGhost雖不能說與蘋果無關系，但也確實不是因為產品的漏洞所致。只不過，全球市值最大的公司是事件當事者之一，同時全球規模最大的移動市場又恰好因為“國情”而成為了重災區……如此的組合效應必然能讓媒體熱情空前高漲，關注度自然也蓋過了黃牛瘋搶iPhone 6s的消息。

于是，小編借題發揮一下，就著這次的“XcodeGhost感染門”，在本期的《易評》中為大家普及一堂“提高網絡、信息安全意識”的課——即便你不是蘋果的用戶，但“信息安全”是一個廣泛涉及每一個人的話題，尤其考慮到未來的汽車、家電甚至門窗都可能通過網絡被控制，一個基本且謹慎的自我保護意識（網絡和信息安全領域）顯得尤為必要。

既然話題從XcodeGhost引出，我們就先解釋一下這究竟是什么個東西。

簡單說，任何人想要給蘋果的產品開發軟件應用，就必然要使用到一個工具，即Xcode。這個工具可以通過蘋果官方渠道免費下載，但也可以通過第三方下載平臺下載，譬如太平洋軟件下載中心、華軍軟件園、迅雷以及百度云盤等等（國外有softpedia等網站）……

從蘋果官網下載的Xcode，當然是“原汁原味”。然而通過其他第三方平臺下載的，尤其是個人用戶通過迅雷和百度云所分享的Xcode，就很難保證是否被動過手腳了。

而這一次所謂的“XcodeGhost感染門”，正是有“分享者”對原裝的Xcode做了修改，讓一款本來能正常“生產”軟件的工具，“病變”成為了“只能產出畸形胎兒的母體”——這好比對一位母親進行DNA破壞，讓其新生兒先天性的“繼承”遺傳疾病一樣。

因為被修改過的Xcode在功能上與原裝Xcode并無異，因此一般用戶，即使是有“技術宅”之美稱的開發者們，也很難有所察覺。

那么，既然是“病毒”，是“惡意代碼”，安裝防毒軟件不就解決了嗎？非也！

防毒軟件不是萬能的；防毒軟件永遠都是追在病毒后面跑的；有一些像是安全漏洞的代碼，防毒軟件是查不到的！

也許一些網友會不太認同小編的說法，那么接下來小編就大致解釋一下防毒軟件的運行機制，為自己的論點做一個論證。

防毒軟件，或者說殺毒軟件，單從字面就能看出是以“防護”為目的而設計的。“防護”是一種被動手段，需要等待對手的主動出擊，才能有所發揮。

這里的“對手”是誰呢？病毒的制造者、黑客們——少則數以萬計，多則數以百萬計。沒有人知道他們是誰，會在什么時候、什么地方出現，也無法預測他們會使用的編程語言，以及會利用的安全漏洞和傳播方式。正所謂“敵暗我明”，因此只能“順勢而為”。

當然，也有所謂的“主動防御，主動查殺”技術，但這種防毒引擎通常都只能根據程序的行為來進行判定，譬如在系統后臺可疑的搜集信息或串改系統文件等。可是并非所有的惡意代碼都具備這樣的特征，至少XcodeGhost就不需要這么做。我們甚至還可以換個角度來思考，如果“主動防御”真那么有效，防毒軟件還需要每天好幾次的更新病毒庫干嘛？

所以，小編并不是在刻意詆毀防毒軟件的價值，只是想強調——過分從心理上依賴它們，并不能獲得一個真正的安全。這就如同我們的身體，不可能總是依靠藥物來維持健康。要想獲得真正的健康，就必須有意識地主動去避免給病毒入侵我們的機會。

這種主動避免提供機會的行為，在信息安全領域可具體表現為：

不使用盜版——小編知道有“國情”在，但是如今開源越來越盛行，很多優秀的商業軟件其實都已有了對應的開源替代品，譬如很多人在用的虛擬機軟件VMware Workstation，其開源替代品為VirtualBox。前者售價250美元，后者完全免費。至于孰優孰劣，則仁者見仁智者見智。總之，在小編的實際使用中，并沒有感覺到免費的VirtualBox有任何功能性的不足。

不授予程序不必要的權限——這本來是Linux操作中最基礎的概念，但如今隨著智能手機廣泛普及，其重要性已經被提升到了必須要讓每一個用戶都銘記在心的地位。就以使用人數最多的Android系統為例，安裝一款離線游戲應用，竟然會要求獲得訪問聯系人名單的權限。而面對這樣無理的要求，又有多少人會選擇拒絕？

不訪問可疑的網站，尤其不在陌生網站上填寫賬號信息——“恭喜您贏得大獎！請訪問xxx.com填寫兌獎信息……”這只是小編隨便舉的例子，目的是想說，這個xxx.com請務必要看清楚了！譬如：163.com和163.com.cn是不一樣的，而apple.com和app1e.com就更加不同了！

不主動運行陌生應用——有時候，我們的電腦或者手機里會莫名其妙地裝入一些不認識的應用程序，請不要因為好奇而打開來看看。如果光看名字就不認識，那就不要點擊了。如果能刪除，則更應該在第一時間就將其給除掉。至于要問為什么這些軟件會在“不知情”的情況下入駐我們的設備？拋開“預裝”的情況不談，剩下最大的可能就是在運行（或安裝）某個程序時沒有仔細看清每一個環節，從而連帶安裝了不需要的東西。

不要不假思索地就將個人信息透過聊天工具發送出去，即使對方是“認識的人”——首先，不通過視頻或者音頻通話，甚至都無法確定這個“認識的人”就是其本人。如此貿然地將個人信息發了過去，難免有朝一日要成為詐騙集團的受害者之一。此外，即便能證明“兒子就是兒子”、“爹就是爹”，也無法保證聊天工具或者WiFi網絡的背后是安全的（有沒有人正在竊聽？）。不是小編偏執狂，在公共WiFi環境下（有密碼或者沒有密碼）想要通過“抓包”手段竊取其他聯網用戶的信息實在是太容易了。Github上就有大量現成的工具可用，甚至還有一個叫K*** Linux的發行版，就是專門用以“測試安全隱患”的（小編用*號略去名字，主要是不想散播不和諧的內容）。

不要從非官方渠道下載工具——這里主要指QQ、XXX播放器、iTunes一類的軟件。這些軟件既然已經免費，我們就應該盡可能從官方的渠道下載獲得。當然，這次釀成大錯的Xcode是因為官方下載速度極慢，所以才迫使開發者轉而使用國內的“云盤”分享。出現這種被迫從第三方渠道下載內容的情況，我們就更應該多長一個心眼，至少在下載完成后比對一下文件的“哈希值”。蘋果沒有為Xcode工具提供官方“哈希值”（蘋果的過失），所以小編用微軟MSDN網站上的Office 2016 Pro Plus作為例子，來解釋一下如何利用這個常見的加密數字：

加亮部分便是微軟官方提供的SHA1值（哈希值的一種）。下載好的文件，利用哈希值工具檢驗，應該會得到一個完全一樣的SHA1值。

上面說了很多個“不”，其實主要只想強調一點，即：作為使用者的你，必須要為自己的每一個操作負責，必須要三思而后行。

這確實不容易做到，并且會在日常生活中增加很多麻煩。可是，今天我們已經走到了一個信息技術高度發達的時代，如果沒有培養一種良好的安全意識，生活愈是數字化、智能化，我們反而愈是將自己曝露于危險之中。尤其當家中的電器、門窗以及汽車都可以通過網絡控制以后（物聯網的終極表現），如果對于自己的所作所為仍然是“毫無概念”，恐怕未來的我們尚未等到被人工智能“征服”，就已經被黑客給“玩死”了……

這里小編隨便舉個例子，譬如買WiFi智能門鎖的嘗鮮型用戶，你們真的了解這些設備的潛在安全風險嗎？WiFi連接是否安全只是其一，這里包括了弱密碼和WiFi加密技術等問題；智能門鎖對應的手機端應用是其二，手機端的各種安全隱患就不多說了，總之很多需要考慮的方面；其三還有門鎖的供電系統，也許很多人不會考慮到這一點——簡單說，電子門鎖通常分為NO（默認無電狀態為開）和NC（默認無電狀態為關）兩種，而無論哪一種，設計上如果不夠精密，還是很容易可以通過“電與磁的合理運用”而實現開鎖的……

當然，小編略有些危言聳聽，但本意是希望能喚起大家對信息安全的注意。這種自我保護意識應該從點點滴滴做起，不能借口“不是技術宅”、“不是我用的品牌”就漠不關心。“隱私”（私密數據）是每一個人都有的，從其他受害者身上學到保護自己的東西才是最重要。