蘋果iOS中招：不是我們無能，而是黑客太狡猾

文/水哥
最近，XcodeGhost入侵蘋果iOS事件在業(yè)內(nèi)引起不小震動(dòng)。事件起因?yàn)椴恢诳拖騣OS應(yīng)用開發(fā)工具Xcode植入惡意程序，通過開發(fā)人員之手傳播被感染的App并以此劫持蘋果用戶相關(guān)信息。來自多個(gè)安全團(tuán)隊(duì)數(shù)據(jù)顯示，病毒感染波及AppStore下載量最高的5000個(gè)App其中的76個(gè)，保守估計(jì)受影響用戶數(shù)超過一億。

由病毒感染源、傳播途徑、傳播方式以及波及范圍來看，XcodeGhost事件毫無疑問已是移動(dòng)互聯(lián)以來威脅最大、影響最深的移動(dòng)操作系統(tǒng)安全事件。事情發(fā)生多天之后，整個(gè)業(yè)界沉浸在一片熱議和反思之中，更多人表現(xiàn)出的是不停抱怨。有人抱怨蘋果官方審核不力，有人抱怨開發(fā)者工作不慎，更有人抱怨用戶安全意識不高。我們認(rèn)為，此次XcodeGhost事件非比尋常，其當(dāng)事任何一方都難以獨(dú)自承擔(dān)責(zé)任之重。

● 黑客詭異布局，防不勝防

此次安全事件感染源在于蘋果集成開發(fā)工具Xcode，借程序員之手將惡意代碼植入正在編譯的App之中，相比直接將惡意代碼植入應(yīng)用程序中為數(shù)眾多的安全案例而言，這種情況實(shí)屬少見且防不勝防。

黑客為什么選擇Xcode作為感染源，從網(wǎng)上透露的各種開發(fā)社區(qū)、人氣下載站的數(shù)十個(gè)版本的Xcode均被植入惡意代碼一事可見，黑客對國內(nèi)Xcode用戶（開發(fā)者）熱衷于通過非官方渠道下載IDE的習(xí)慣了如指掌。

為什么選擇蘋果用戶下手？無非為了更豐厚的利益。根據(jù)央視對此次事件的“黑產(chǎn)”報(bào)道，加之蘋果手機(jī)所處的高端優(yōu)勢地位意味著其用戶群體相對具有更高的信息價(jià)值，而黑客的行為動(dòng)機(jī)亦可見一斑。由此可見XcodeGhost事件是一次精心策劃的黑客行為，其布局詭異、來之突然令人猝不及防。

● 開發(fā)者疏于防備，大公司怠于制度

事件中的開發(fā)者是無心的，他們是被利用的一方。至于開發(fā)者為什么習(xí)慣于通過非官方平臺下載Xcode也有著特殊原因。我們知道蘋果提供了Xcode免費(fèi)下載渠道，然而許多開發(fā)者經(jīng)常抱怨Mac App Store不僅打開慢，下載速度更是慢得讓人無法忍受。由于蘋果官網(wǎng)服務(wù)器架設(shè)在國外，而國內(nèi)網(wǎng)民數(shù)量巨大，國際出口帶寬已達(dá)4717761Mbps，加之訪問國外站點(diǎn)需經(jīng)過更多路由節(jié)點(diǎn)，速度慢那是必然的。就算是情況較好的bing，你ping它試試，依然比國內(nèi)主流網(wǎng)站慢上20—200ms。這是一個(gè)普遍現(xiàn)象。

既然如此，就由不得開發(fā)者去百度其他下載鏈接，無意中鉆進(jìn)了黑客的陷阱。另外，國內(nèi)的程序員大多有個(gè)不好的習(xí)慣，下完重要的東西后經(jīng)常忘了MD5和SHA1校驗(yàn)，在帶寬資源遠(yuǎn)比今天貧瘠的年代我們尚在培養(yǎng)好的下載習(xí)慣，如今這種好的習(xí)慣卻被漸漸忘卻。

另外，照理說大公司的技術(shù)部門一般都有嚴(yán)格的作業(yè)制度，重要的軟件、配置、開發(fā)工具之類必須事先存儲于內(nèi)網(wǎng)服務(wù)器或是NAS、SAN之上以供分發(fā)，并按時(shí)檢查更新。然而，從主流應(yīng)用被大量感染的結(jié)果來看，想必是這些日常制度都被怠慢了。


● 蘋果方無可厚非，但仍有責(zé)任

許多人將此次事件歸咎于蘋果公司，認(rèn)為蘋果夸大了iOS封閉系統(tǒng)的安全性，事實(shí)上這并無可厚非，殊不知世上本無絕對安全的操作系統(tǒng)。網(wǎng)絡(luò)安全與操作系統(tǒng)本身并無直接關(guān)聯(lián)，所謂樹大招風(fēng)，在操作系統(tǒng)安全史上有著很好的詮釋。PC時(shí)代一些醉心于類unix的開發(fā)者總是不停褒美著Linux系統(tǒng)的安全性，事實(shí)上，并非Linux真的比Windows安全，而是Linux的用戶實(shí)在是少數(shù)，針對Linux的安全案例同樣是少數(shù)。同理，移動(dòng)時(shí)代與PC Windows一脈相承的WP系統(tǒng)亦很少有安全問題上的案例。

另外，蘋果公司在操作系統(tǒng)研發(fā)功底與沉淀上技術(shù)實(shí)力遠(yuǎn)不如微軟，面對系統(tǒng)級安全一時(shí)失語尚不為過，但其補(bǔ)救姍姍來遲和過于消極的態(tài)度就顯得不夠誠意。至少，蘋果在App審核不力上仍有一定責(zé)任。

● 普通用戶是最大受害者

用戶是最無辜的，而普通用戶是最大的受害者。為什么說是普通用戶？眾所周知，蘋果產(chǎn)品依靠高端品牌、注重體驗(yàn)與大走時(shí)尚、奢侈品路線而吸引了眾多粉絲，一個(gè)有趣的現(xiàn)象是，許多外媒認(rèn)為蘋果用戶是最愛慕虛榮和不懂技術(shù)的科技產(chǎn)品使用群體，俗稱IT“小白”，這與PC時(shí)代隨著軟硬件技術(shù)一點(diǎn)點(diǎn)成長起來的“老鳥”而言，大多數(shù)蘋果用戶就顯得“普通”多了。

來自國外一家某安全團(tuán)隊(duì)抽樣調(diào)查數(shù)據(jù)顯示：有40%的蘋果用戶無法找到iTunes下載并完成安裝（windows系統(tǒng)？），超過75%的用戶不會更改、設(shè)置iPhone/iPad的靜態(tài)ip地址。正是這樣的“普通”用戶群體，在信息網(wǎng)絡(luò)安全事件面前，缺乏安全意識和必要的操作知識使他們完全變成了無助的羔羊。

小結(jié)

問題爆發(fā)數(shù)日之后，蘋果公司終于作出正面回應(yīng)并下架所有問題App，各主流應(yīng)用開發(fā)者及時(shí)更新替換了被感染的程序，各方安全團(tuán)隊(duì)亦對問題繼續(xù)跟進(jìn)。但是這并沒有結(jié)束，事件仍在繼續(xù)發(fā)酵，初見端倪的XcodeGhost或許只是冰山一角。

然而事件的所有見證者都必須重視的是，信息與網(wǎng)絡(luò)安全是整個(gè)業(yè)界必須共同承擔(dān)的大事，即便是蘋果、微軟這樣的巨頭也難以獨(dú)自承受其重。假使程序員多一些強(qiáng)迫癥式的“潔癖”，技術(shù)部門的日常制度不再流于形式，用戶多學(xué)一些安全知識，蘋果對iOS的安全性亦能止步于吹噓，那么對類似XcodeGhost問題的防御也能隨之加強(qiáng)。

-----------------------------------
轉(zhuǎn)載請注明作者、出處，以及「微博：@IT水哥 」「微信公號：QQ133991」


本文地址:http://www.quema.com.cn/artinfo/2161.html