您好,歡迎來到58網(wǎng)站目錄!

蘋果iOS中招:不是我們無能,而是黑客太狡猾

站長「蝙蝠俠」:QQ1251270088  瀏覽:1214次 時間:2015-09-22

文/水哥
最近,XcodeGhost入侵蘋果iOS事件在業(yè)內(nèi)引起不小震動。事件起因為不知名黑客向iOS應(yīng)用開發(fā)工具Xcode植入惡意程序,通過開發(fā)人員之手傳播被感染的App并以此劫持蘋果用戶相關(guān)信息。來自多個安全團(tuán)隊數(shù)據(jù)顯示,病毒感染波及AppStore下載量最高的5000個App其中的76個,保守估計受影響用戶數(shù)超過一億。


蘋果iOS中招:不是我們無能,而是黑客太狡猾


由病毒感染源、傳播途徑、傳播方式以及波及范圍來看,XcodeGhost事件毫無疑問已是移動互聯(lián)以來威脅最大、影響最深的移動操作系統(tǒng)安全事件。事情發(fā)生多天之后,整個業(yè)界沉浸在一片熱議和反思之中,更多人表現(xiàn)出的是不停抱怨。有人抱怨蘋果官方審核不力,有人抱怨開發(fā)者工作不慎,更有人抱怨用戶安全意識不高。我們認(rèn)為,此次XcodeGhost事件非比尋常,其當(dāng)事任何一方都難以獨自承擔(dān)責(zé)任之重。

● 黑客詭異布局,防不勝防

此次安全事件感染源在于蘋果集成開發(fā)工具Xcode,借程序員之手將惡意代碼植入正在編譯的App之中,相比直接將惡意代碼植入應(yīng)用程序中為數(shù)眾多的安全案例而言,這種情況實屬少見且防不勝防。

黑客為什么選擇Xcode作為感染源,從網(wǎng)上透露的各種開發(fā)社區(qū)、人氣下載站的數(shù)十個版本的Xcode均被植入惡意代碼一事可見,黑客對國內(nèi)Xcode用戶(開發(fā)者)熱衷于通過非官方渠道下載IDE的習(xí)慣了如指掌。

為什么選擇蘋果用戶下手?無非為了更豐厚的利益。根據(jù)央視對此次事件的“黑產(chǎn)”報道,加之蘋果手機所處的高端優(yōu)勢地位意味著其用戶群體相對具有更高的信息價值,而黑客的行為動機亦可見一斑。由此可見XcodeGhost事件是一次精心策劃的黑客行為,其布局詭異、來之突然令人猝不及防。

● 開發(fā)者疏于防備,大公司怠于制度

事件中的開發(fā)者是無心的,他們是被利用的一方。至于開發(fā)者為什么習(xí)慣于通過非官方平臺下載Xcode也有著特殊原因。我們知道蘋果提供了Xcode免費下載渠道,然而許多開發(fā)者經(jīng)常抱怨Mac App Store不僅打開慢,下載速度更是慢得讓人無法忍受。由于蘋果官網(wǎng)服務(wù)器架設(shè)在國外,而國內(nèi)網(wǎng)民數(shù)量巨大,國際出口帶寬已達(dá)4717761Mbps,加之訪問國外站點需經(jīng)過更多路由節(jié)點,速度慢那是必然的。就算是情況較好的bing,你ping它試試,依然比國內(nèi)主流網(wǎng)站慢上20—200ms。這是一個普遍現(xiàn)象。

既然如此,就由不得開發(fā)者去百度其他下載鏈接,無意中鉆進(jìn)了黑客的陷阱。另外,國內(nèi)的程序員大多有個不好的習(xí)慣,下完重要的東西后經(jīng)常忘了MD5和SHA1校驗,在帶寬資源遠(yuǎn)比今天貧瘠的年代我們尚在培養(yǎng)好的下載習(xí)慣,如今這種好的習(xí)慣卻被漸漸忘卻。

另外,照理說大公司的技術(shù)部門一般都有嚴(yán)格的作業(yè)制度,重要的軟件、配置、開發(fā)工具之類必須事先存儲于內(nèi)網(wǎng)服務(wù)器或是NAS、SAN之上以供分發(fā),并按時檢查更新。然而,從主流應(yīng)用被大量感染的結(jié)果來看,想必是這些日常制度都被怠慢了。


● 蘋果方無可厚非,但仍有責(zé)任

許多人將此次事件歸咎于蘋果公司,認(rèn)為蘋果夸大了iOS封閉系統(tǒng)的安全性,事實上這并無可厚非,殊不知世上本無絕對安全的操作系統(tǒng)。網(wǎng)絡(luò)安全與操作系統(tǒng)本身并無直接關(guān)聯(lián),所謂樹大招風(fēng),在操作系統(tǒng)安全史上有著很好的詮釋。PC時代一些醉心于類unix的開發(fā)者總是不停褒美著Linux系統(tǒng)的安全性,事實上,并非Linux真的比Windows安全,而是Linux的用戶實在是少數(shù),針對Linux的安全案例同樣是少數(shù)。同理,移動時代與PC Windows一脈相承的WP系統(tǒng)亦很少有安全問題上的案例。

另外,蘋果公司在操作系統(tǒng)研發(fā)功底與沉淀上技術(shù)實力遠(yuǎn)不如微軟,面對系統(tǒng)級安全一時失語尚不為過,但其補救姍姍來遲和過于消極的態(tài)度就顯得不夠誠意。至少,蘋果在App審核不力上仍有一定責(zé)任。

● 普通用戶是最大受害者

用戶是最無辜的,而普通用戶是最大的受害者。為什么說是普通用戶?眾所周知,蘋果產(chǎn)品依靠高端品牌、注重體驗與大走時尚、奢侈品路線而吸引了眾多粉絲,一個有趣的現(xiàn)象是,許多外媒認(rèn)為蘋果用戶是最愛慕虛榮和不懂技術(shù)的科技產(chǎn)品使用群體,俗稱IT“小白”,這與PC時代隨著軟硬件技術(shù)一點點成長起來的“老鳥”而言,大多數(shù)蘋果用戶就顯得“普通”多了。

來自國外一家某安全團(tuán)隊抽樣調(diào)查數(shù)據(jù)顯示:有40%的蘋果用戶無法找到iTunes下載并完成安裝(windows系統(tǒng)?),超過75%的用戶不會更改、設(shè)置iPhone/iPad的靜態(tài)ip地址。正是這樣的“普通”用戶群體,在信息網(wǎng)絡(luò)安全事件面前,缺乏安全意識和必要的操作知識使他們完全變成了無助的羔羊。

小結(jié)

問題爆發(fā)數(shù)日之后,蘋果公司終于作出正面回應(yīng)并下架所有問題App,各主流應(yīng)用開發(fā)者及時更新替換了被感染的程序,各方安全團(tuán)隊亦對問題繼續(xù)跟進(jìn)。但是這并沒有結(jié)束,事件仍在繼續(xù)發(fā)酵,初見端倪的XcodeGhost或許只是冰山一角。

然而事件的所有見證者都必須重視的是,信息與網(wǎng)絡(luò)安全是整個業(yè)界必須共同承擔(dān)的大事,即便是蘋果、微軟這樣的巨頭也難以獨自承受其重。假使程序員多一些強迫癥式的“潔癖”,技術(shù)部門的日常制度不再流于形式,用戶多學(xué)一些安全知識,蘋果對iOS的安全性亦能止步于吹噓,那么對類似XcodeGhost問題的防御也能隨之加強。

-----------------------------------
轉(zhuǎn)載請注明作者、出處,以及「微博:@IT水哥 」「微信公號:QQ133991」


本文地址:http://m.quema.com.cn/artinfo/2161.html
?