这两天,被苹果XCodeGhost特洛伊刷屏。通过在iOS开发工具Xcode中插入恶意代码的病毒传播方式在iOS上还是第一次。 这也是去年黑客攻破苹果iCloud服务器并公开女明星私人照片后的又一次重大安全事件。(详情查看钛媒体报道:《苹果APP中毒事件究竟是怎么回事?为何骗过了App Store?》)
黑客已经基本控制了你的手机
来自多个安全团队的数据,AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿;这些用户可能面临帐号泄露及经济损失的风险。
按安全专家的说法,除了APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备应用信息能被上报至黑客控制的服务器,能精准的区分每一台iOS设备。
而对于普通用户来说,后果远远超过想象。黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!
黑客要偷什么?这些工程师怎么了?
为什么要偷Apple帐号?简单说几点,一来可以帮第三方游戏及软件等App应用刷榜,通过其下载量变现;乱发iMessage广告和短信变现;更危险的是,知道用户的帐号后能得到相当的权限,除了在苹果商店下载大量的免费应用。
当用户账户有钱的时候,可以轻易用你预存的钱或你的信用卡买App,偷账户里的钱,想想都可怕。至于多数人担心的照片流出,其实,除非你是范X冰,否则人家对你的照片根本没啥兴趣,也不至于花这么大劲。
看看这次受影响APP的名单,惊讶于其中不乏来自各大知名公司的应用产品。影响最大的可能就是微信,此外诸多高频应用包括炒股应用同花顺、高德地图、滴滴打车、网易云音乐等。甚至还有中国联通手机营业厅赫然在列。
按理说,开放这些应用的大公司应该有正确的电脑和软件的使用制度。由公司统一配置开发所用电脑和测试所用的手机,以及上传相应的软件和工具,它们的升级也应该来自公司可信的来源。比如公司自己的专用内部服务器,负责开放工具的分发及升级,或者直接从Apple官方下载,不允许用不明来源的电脑及软件来做这个事。
Apple官网服务器在国外,这个客观事实让不少开发者感到下载速度特别慢,导致中途可能出现中断的现象,不可否认直接影响开发进度。为了提高效率,有工程师就在下载Xcode后,放到网盘上供其他人下载,也有的工程师可能就逾越了本来的官方渠道,到第三方下载,进而污染了公司开发系统内部,而这次的问题就出在这里。
为什么这些应用的开发方不用自己的服务器分发开发工具,工程师要到外面去乱找?对于大公司开发软件项目,几乎都是由一组工程师来完成,例如微信不可能是一名工程师单独研发的,高德地图、滴滴出行、网易云音乐、这些高频应用也不可能是一个人做出来的嘛。相信腾讯、网易、高德地图、同花顺、联通这些大公司是有完善的开发制度可依,但可以肯定说,这次事件暴露了这些制度形同虚设,执行不到位,导致的结果就是给用户带来了到现在还难以预估的巨大风险和损失。
但事发这么多天来,不是每个公司都第一时间发现了问题,而且,声明归声明,到现在为止没有哪一家涉事公司采取更积极负责任的做法。例如强制升级,并同时禁止旧版本使用;用弹窗等发法明确告知用户;而且目前还没有哪家公司表示向警方报案,严惩犯罪分子。
中华人民共和国计算机信息系统安全保护条例总则第七条明确指出,任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。截至目前,没有听说哪家公司诉诸法律对此事进行报案。
苹果中毒!这些公司又做了什么?
回头说苹果,之所以此次事件引发强烈关注,其中一个原因就是它攻陷了大众对苹果安全性的心理预期。这次事件也再次暴露了苹果对安全的忽视。
苹果的责任是什么?
首先,第一时间应该下架目前所有有问题应用;及时发布工具让开发者检测自己的开发环境是否已被污染;并帮助苹果用户快速检查手机里是否存在问题应用,并提示卸载。
到目前为止,笔者在苹果官方网站没有看到苹果公司采取任何积极的措施,让用户知晓自己可能面临的风险,就不用说采取其他积极的措施补救了。一直以来,苹果iPhone、iPad等设备被认为是比Android等其他设备更安全的平台,接二连三的事件让苹果更安全的神话破灭。
就在不久几天前,苹果发布了新的iPhone 6S系列手机及iPad Pro等设备,希望能够进入更深的商务市场,而安全性正是商务人士及企业更关注的基础。以库克为代表的新一代苹果高管若不对本次事件采取积极的应对态度,势必影响大众对苹果公司管理层的质疑。
事件发生后,腾讯、网易、阿里巴巴等公司虽然发表了声明;但仔细阅读了这些声明发现一个共同的问题:对用户可能面临的风险避重就轻,回避自己应该承担的责任。用户如果因为帐号泄露出现了经济损失或其他后果,这些公司是不打算承担相应责任的。而这件事之所以能够这么严重,最主要的原因就是以上这些公司的开发人员不严格尊重相应的管理制度,将恶意代码意外引入,这些公司内部的管理核查又是走形式,从而使得感染了恶意代码的App通过合法的苹果应用商店发布出去。
以上公司在事件发生后虽然积极研究,并更新了版本,但对用户风险提示进行掩饰,可能进一步误导用户对风险的重视不足,使得问题没有及时彻底解决,对将来用户构成进一步风险。
另外,这是中国移动互联网历史上,第一个重大的涉及犯罪的案件,各个涉事公司,竟然都对犯罪分子采取纵容放任的态度,不去报案。目前,网易表示犯罪分子的服务器已经关闭,所以用户就是安全的。这样的表态是非常不妥及不负责的,这些精心策划恶意代码的犯罪份子,目前可能只是蛰伏避风头,如果不能以法律手段严惩,将来还有可能酿成更严重的事件,从而对社会,对大众构成更严重的风险和损失。我国对高科技犯罪向来是严格执法,以之前熊猫烧香等经典案例来看,法律制度是完善的,但互联网业界的相关公司不能讳疾忌医,让公众安全承受威胁。
据盘古团队一款Xcode病毒检测工具, 目前有检测出有问题的不同版本应用超过800个, 仍在持续增加。
那现在用户到底怎么办?这次爆发主要受影响的是中国苹果用户,微信都中招了,赶快换苹果ID的密码是一件重要的事。(本文首发钛媒体)
疑似受影响APP不完全名单及版本号:
微信 6.2.5
自由之战 - 1.0.9
我叫MT - 4.6.2
我叫MT 2 - 1.8.5
电话归属地助手 - 3.6.3
夫妻床头话 - 2.0.1
同花顺 - 9.26.03 - 9.26.01
铁路12306 - 2.1
穷游 - 6.4.1
滴滴打车 - 3.9.7
滴滴出行 - 4.0.0
高德地图 - 7.3.8.2037
网易云音乐 - 2.8.3
联通手机营业厅 - 3.2
简书 - 2.9.1
网易公开课 - 4.2.8
下厨房 - 4.3.2
51卡保险箱 - 5.0.1
开眼 - 1.8.0
同花顺 - 9.60.01
根据《网络安全法》实名制要求,请绑定手机号后发表评论
看完全文,深表赞同,同时同仇敌忾,实在是太没有责任心了… 不过,我觉得,坚信绝对的安全本身就是不安全的表现,其实,当每个人拿起手机和时候,就应该明白一件事,你已经曝光在了互联网的世界里,但是,造成不造成损失,则是恶意行为本身成本决定的,以后肯定还会有类似的事件,只是希望这次吸取教训,做好事故应急与补偿预案和相关法制建设
苹果太垃圾了,从来不用!
苹果,app开发商都有责任
关苹果什么事,这只是懒惰的不负责任的开发者和表面制度严格实际形同虚设的开发APP公司制度造成了。就一个问题,为什么要去不正当的地方下载!别说不好下,开发者账户很好下载,在应用商店或者开发者账户很容易下载,只要复制链接以后在迅雷就能下,速度很快。别找服务器在国外的借口,那个根本不是问题。最根本问题是国内互联网环境风气问题,找什么软件都不去开发商那里找,都去中介,什么一些靠推广,“人气”,建立起来的所谓商店,对应用没有任何审核的能力,无法鉴别真伪,是否被改动。被改了坑了赖开发商,逗不逗,幼稚不,弱智不。
表面慷慨激昂,实则狗屁不通。涉及的技术点描述一锅浆糊,潜在的风险危言耸听。看看这段话“这是中国移动互联网历史上,第一个重大的涉及犯罪的案件,各个涉事公司,竟然都对犯罪分子采取纵容放任的态度,不去报案。”这是什么样水平的作者才能写出来的话,大家自己掂量吧。
在美国上市的公司又怎么样?不是学不会老美的,而是在国内经营,根坏透了。
信息安全及信息泄露之后造成的损伤不是一日之殇,所谓监管,呵呵……所谓负责;呵呵……所谓结果,呵呵……安卓与IOS其实都一样,只不过谁更会装X讨人喜欢罢了。谁都知道受伤的是用户,可谁都不会去管的也是用户!
苹果在此时应该积极应对,给客户合理的答复,最凉不过人心,心都失了,库克你怎么玩
一方面是想挣脱规则,构建自己的秩序。嘴里喊着要你管。当挣脱了规则,构建了秩序,出现了秩序,出了问题,嘴里喊着你要管。像那种人,就不应该管。
也许可以等乔布斯