【A】即使不越狱,苹果官方应用商店下载的应用软件也不再是绝对安全了。上周末,根据安全漏洞 告平台乌云 告显示,苹果IOS开发工具xcode被植入恶意代码的事件这几天刷屏了整个信息安全圈,一些开发者从第三方渠道下载了被植入恶意代码的开发工具后,使开发出的APP直接携带了木马并上传到苹果商店,波及上亿用户。目前包括微信、12306、嘀嘀打车、 易云音乐、高德、中国联通手机营业厅等几十款知名APP都已中招。
(Xcode是苹果系统的应用开发工具,也就是说苹果商店中的APP都要用它来编写。实际上,苹果官方渠道向开发者提供的Xcode本身是安全的,但由于它的体积过于庞大,服务器又在美国,许多中国的开发者由于嫌慢,就会跑到第三方渠道下载。一位IT工程师梁先生透露说,在国内互联 圈,这种图省事的做法十分普遍:
目前,国内诸如微信、12306、嘀嘀打车、高德这样的知名APP都相继被爆中招,上海信息安全行业协会副主任张威认为,之后这份牵连者名单还将会更长:
【相当于有上亿的用户中招了,它在工具里植入的代码包括哪些东西呢,第一个包括所有安装了这些用户的基础信息,之外还留了一个后门,他某一天想要通过后门对设备进行远程控制,他是可以调用这个后门的。】
【现在我们不能排除他已经用了这个后门,同时这个问题没有被其他的程序员所利用,因为别人也可以用同样的方法做这个事情,这个危害延展性的风险。】
虽然目前从表面上看并没有用户遭到直接损失,但是此次事件所暴露的国内信息安全现状却让人心惊。其实这种源码类病毒并不新鲜,手法甚至不高明,但为何众多国内知名互联 企业都会中招,他们怎么就连作为安全源头的开发工具要从官方渠道下载的起码道理都不知道?
【很多程序开发人员就偷懒,这些厂商肯定是有责任,内部也没有一个完善的机制去检测去排除这些问题,目前来说,互联 公司都在赶忙修改这个漏洞,你知道我们国家的互联 企业他是那种事件型的,就是不发生事我就当做天下太平。不会主动做一些事,而是被动的】
【A】目前苹果已下架了相关应用,而中招企业也都相继发表声明称已修复问题,只要用户升级版本就可解决。但是除此之外却没有任何一家企业愿意正面回应,对于已经被暴露的用户信息该如何负责。张威说,针对已造成的安全威胁,我们普通用户现在能做的只能是改账户名、改密码和升级应用版本。而这种每次只能靠自救的的做法其实是一种悲哀:
(【在国外发生这种事怎么办,就算没有造成用户损失,最起码赔上几十亿再说,对于企业来说就自动要把这个东西做好了。实际上在欧美安全根本不用考虑,我就用APPStore了,一旦出了问题,我就告你就行了。在我们国内这条追溯力没有形成的话,就是一旦你造成了问题,很多东西可能要靠自己。】)
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!