這邊廂蘋果iPhone 6S賣得熱火朝天，那邊廂APP Store遭遇了自上線以來堪稱最大規模的攻擊。據《北京日報》近日報道，此次蘋果上百款APP感染了XcodeGhost木馬，包括微信、百度音樂、網易云音樂、滴滴出行等知名APP均被滲透。

目前，蘋果已經將受感染的APP下架，也關閉了木馬制造者用于接收竊取信息的服務器。值得一提的是，蘋果強調此次事件未造成用戶的信息泄露，但仍難無法改變用戶對于手機信息安全的擔憂。此番蘋果事件給用戶一個深刻的領悟，在APP上線之前，除了開發及編譯工具應該是需要重兵把守城門之外，還需要國產操作系統的繼續努力。當然，對于用戶來說，及時衡量網絡行為，提高網絡安全意識，才能減少類似事件的發生。

蘋果APP Store被植入惡意程序

隨著智能手機的逐漸普及，手機木馬病毒也開始蠢蠢欲動紛紛瞄準人們越來越離不開的智能手機。除了安卓手機經常被曝出中病木馬毒外，近日蘋果的APP Store也難逃一劫。

近日，CNCERT發布了一篇《關于使用非蘋果官方XCODE存在植入惡意代碼情況的預警通報》，聲稱開發者使用非蘋果公司官方渠道的XCODE工具開發蘋果應用程序(蘋果APP)時，會向正常的蘋果APP中植入惡意代碼。

這也意味著，從第三方源下載的Xcode(蘋果平臺IDE)被植入惡意代碼，使用受感染的Xcode編譯、生成的應用中會被植入后門，包括：iOS，iPhone模擬器，Mac OS X。而被植入惡意代碼的iOS應用會向服務器上傳信息，具體信息包括：時間、應用名字、應用標識ID、設備名字與類型、系統區域及語言、設備唯一標識UUID、網絡類型。當用戶上傳至AppStore并被用戶下載安裝，就會偷偷上傳軟件包名、應用名、系統版本、語言、國家等基本信息。

針對蘋果應用商店被曝有部分應用程序感染了惡意代碼，美國蘋果公司也證實，其官方開發工具軟件Xcode遭到黑客攻擊和修改，致使用其開發的很多應用程序也被感染。不過，蘋果還表示其已從應用商店刪除了這些被植入惡意代碼的應用。

據360NirvanTeam提供的最新數據顯示，共發現1077款APP感染XcodeGhost木馬，其中不乏百度音樂、微信、滴滴、12306、名片全能王、憤怒的小鳥2等用戶量極大的APP，涉及互聯網、金融、鐵路航空、游戲等領域。

用戶信息安全堪憂

蘋果XcodeGhost惡意程序事件不禁令人想起去年同期，由于iCloud漏洞引起的多位好萊塢明星私照被曝光的事件。諸多果粉心生疑慮，蘋果產品標榜的“安全”性能難道不復存在了嗎？

人民網此前報道，蘋果公司于2014年7月承認，可以通過一項未公開的技術獲取iPhone用戶的短信、通訊錄和照片等個人數據，但否認為情報部門服務。事實上，在去年iCloud 事件發生后，多國“禁令”使用蘋果產品，譬如俄羅斯甚至立法規定從2015年1月起禁止使用蘋果公司產品。雖然蘋果表示此次應用商店事件未對用戶信息造成損害，但用戶使用了被植入XcodeGhost惡意代碼的APP后，APP會自動向病毒制造者的服務器上傳諸如手機型號、系統版本、應用名稱、應用使用時間、系統語言等隱私信息。因此，用戶對信息安全的隱憂仍無法消除。

微博網友“唐巧_boy”稱：“XcodeGhost這件事情，蘋果自己也有責任，Mac App Store下載速度慢得要死，每次下Xcode花個幾十分鐘非常正常，這才造成大家都用迅雷和百度網盤這種非官方渠道。就說現在吧，我的Mac系統更新了一上午，還是處于卡頓無進度狀態。”此外， 安言咨詢總經理張耀疆認為，“蘋果商店的事件反映了一種潛在風險，即在用戶甚至開發商不知曉的情況下，也有泄露所有個人信息的可能性。即使這次解決了，開發者也很難保證下次不出現類似問題，因為這不是一家能解決的問題，而是整個移動開發鏈條上的問題。”

信息安全需未雨綢繆

移動互聯網的快速發展，雖然便捷了人與人之間的距離，但信息安全也一躍成為了議論焦點。蘋果XcodeGhost木馬事件背后，用戶的信息安全隱憂值得深思，如何正確地利用好互聯網，是當前急需解決的問題。

第一，不論是蘋果系統的安全隱患還是安卓手機木馬病毒，對于保障國人的信息安全所需要的是自己開發出優秀的國產手機操作系統。此前Windows10操作系統也被指出存在安全漏洞，騰訊電腦管家和360甚至相繼發布公告，暫緩Windows10升級助手服務。如果不使用我國自主研發的操作系統，系統的后門鑰匙始終掌握在別人手里，那么我國的信息安全保障就如同失去了屏障。

第二，應用開發者要有足夠的安全意識，堅守第一道防線。開發者應當從源頭予以保證，包括代碼來源的安全干凈及使用正版蘋果系統。

第三，有關部門應建立必要的安全管理機制。近日，中國互聯網協會發布的《中國網民權益保護調查報告2015》顯示，我國有78.2%的網民個人身份信息被泄露。這就要求有關部門對網絡安全管理機制的建立和把控放在一定的高度上才是良策。當然，維護網絡安全，僅靠相關部門的力量遠遠不夠，還需企業與個人的多方努力，自律與他律多措并舉。