网络安全何处是净土——苹果APP中毒 谁为用户买单?

来自央视的报道称,苹果系统程序编写软件Xcode被黑客植入恶意代码,用恶意Xcode编写的APP会泄漏隐私,微信、滴滴打车、58同城、网易云音乐等350余款APP被感染。并提醒苹果用户应尽快检测APP版本信息,删除被感染版本或更新至最新版。

曾几何时,苹果的用户都非常自豪地认为iOS是非常安全的,包括业界和苹果也认为封闭的iOS是安全的。而谷歌的开源Android是极不靠谱的,是安全隐患最多的,不过历经“黑客”和“后门”洗礼的Android反而没有特大的被感染的APP事件。不过这一次苹果被爆出超过350款APP被感染“恶意后门”之后,相对安全的iOS瞬间轰然倒塌。

黑客已经基本控制了你的手机

来自多个安全团队的数据,AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿;这些用户可能面临帐号泄露及经济损失的风险。

按安全专家的说法,除了APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备应用信息能被上报至黑客控制的服务器,能精准的区分每一台iOS设备。

苹果APP中毒

而对于普通用户来说,后果远远超过想象。黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。 实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

黑客要偷什么?这些工程师怎么了?

为什么要偷Apple帐号?简单说几点,一来可以帮第三方游戏及软件等App应用刷榜,通过其下载量变现;乱发iMessage广告和短信变现;更危险的是,知道用户的帐号后能得到相当的权限,除了在苹果商店下载大量的免费应用。

当用户账户有钱的时候,可以轻易用你预存的钱或你的信用卡买App,偷账户里的钱,想想都可怕。至于多数人担心的照片流出,其实,除非你是范X冰,否则人家对你的照片根本没啥兴趣,也不至于花这么大劲。

看看这次受影响APP的名单,惊讶于其中不乏来自各大知名公司的应用产品。影响最大的可能就是微信,此外诸多高频应用包括炒股应用同花顺、高德地图、滴滴打车、网易云音乐等。甚至还有中国联通手机营业厅赫然在列。

按理说,开放这些应用的大公司应该有正确的电脑和软件的使用制度。由公司统一配置开发所用电脑和测试所用的手机,以及上传相应的软件和工具,它们的升级也应该来自公司可信的来源。比如公司自己的专用内部服务器,负责开放工具的分发及升级,或者直接从Apple官方下载,不允许用不明来源的电脑及软件来做这个事。

Apple官网服务器在国外,这个客观事实让不少开发者感到下载速度特别慢,导致中途可能出现中断的现象,不可否认直接影响开发进度。为了提高效率,有工程师就在下载Xcode后,放到网盘上供其他人下载,也有的工程师可能就逾越了本来的官方渠道,到第三方下载,进而污染了公司开发系统内部,而这次的问题就出在这里。

为什么这些应用的开发方不用自己的服务器分发开发工具,工程师要到外面去乱找?对于大公司开发软件项目,几乎都是由一组工程师来完成,例如微信不可能是一名工程师单独研发的,高德地图、滴滴出行、网易云音乐、这些高频应用也不可能是一个人做出来的嘛。相信腾讯、网易、高德地图、同花顺、联通这些大公司是有完善的开发制度可依,但可以肯定说,这次事件暴露了这些制度形同虚设,执行不到位,导致的结果就是给用户带来了到现在还难以预估的巨大风险和损失。

但事发这么多天来,不是每个公司都第一时间发现了问题,而且,声明归声明,到现在为止没有哪一家涉事公司采取更积极负责任的做法。例如强制升级,并同时禁止旧版本使用;用弹窗等发法明确告知用户;而且目前还没有哪家公司表示向警方报案,严惩犯罪分子。

中华人民共和国计算机信息系统安全保护条例总则第七条明确指出,任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。截至目前,没有听说哪家公司诉诸法律对此事进行报案。

苹果中毒!这些公司又做了什么?

回头说苹果,之所以此次事件引发强烈关注,其中一个原因就是它攻陷了大众对苹果安全性的心理预期。这次事件也再次暴露了苹果对安全的忽视。

苹果的责任是什么?

首先, 第一时间应该下架目前所有有问题应用;及时发布工具让开发者检测自己的开发环境是否已被污染;并帮助苹果用户快速检查手机里是否存在问题应用,并提示卸载。

到目前为止,笔者在苹果官方网站没有看到苹果公司采取任何积极的措施,让用户知晓自己可能面临的风险,就不用说采取其他积极的措施补救了。一直以来,苹果iPhone、iPad等设备被认为是比Android等其他设备更安全的平台,接二连三的事件让苹果更安全的神话破灭。

就在不久几天前,苹果发布了新的iPhone6s系列手机及iPad Pro等设备,希望能够进入更深的商务市场,而安全性正是商务人士及企业更关注的基础。以库克为代表的新一代苹果高管若不对本次事件采取积极的应对态度,势必影响大众对苹果公司管理层的质疑。

事件发生后,腾讯、网易、阿里巴巴等公司虽然发表了声明; 但仔细阅读了这些声明发现一个共同的问题:对用户可能面临的风险避重就轻,回避自己应该承担的责任。用户如果因为帐号泄露出现了经济损失或其他后果,这些公司是不打算承担相应责任的。而这件事之所以能够这么严重,最主要的原因就是以上这些公司的开发人员不严格尊重相应的管理制度,将恶意代码意外引入,这些公司内部的管理核查又是走形式,从而使得感染了恶意代码的App通过合法的苹果应用商店发布出去。

以上公司在事件发生后虽然积极研究,并更新了版本,但对用户风险提示进行掩饰,可能进一步误导用户对风险的重视不足,使得问题没有及时彻底解决,对将来用户构成进一步风险。

另外,这是中国移动互联网历史上,第一个重大的涉及犯罪的案件,各个涉事公司,竟然都对犯罪分子采取纵容放任的态度,不去报案。目前,网易表示犯罪分子的服务器已经关闭,所以用户就是安全的。这样的表态是非常不妥及不负责的,这些精心策划恶意代码的犯罪份子,目前可能只是蛰伏避风头,如果不能以法律手段严惩,将来还有可能酿成更严重的事件,从而对社会,对大众构成更严重的风险和损失。我国对高科技犯罪向来是严格执法,以之前熊猫烧香等经典案例来看,法律制度是完善的,但互联网业界的相关公司不能讳疾忌医,让公众安全承受威胁。

据盘古团队一款Xcode病毒检测工具,目前有检测出有问题的不同版本应用超过800个,仍在持续增加。

那现在用户到底怎么办?这次爆发主要受影响的是中国苹果用户,微信都中招了,赶快换苹果ID的密码是一件重要的事。


返回道普网首页 返回道普网首页>> 文/钛媒体
道普网

道普声明
1、道普网转载本文目的在于传递信息,并不代表赞同其观点或对真实性负责,道普不承担文章侵权行为的连带责任。
2、若所转内容涉及版权等问题,请著作权或版权拥有机构致电或来函联系,我方将第一时间处理。
3、本网原创文章欢迎转载,务必请注明来源。
转载请注明来源
道普网原创或编译,更多信息化门户专业资料请访问道普信息化。

官网:http://www.topcio.cn

微博:@道普信息化

微视:TOPCIO视频库

微信:topcio_cn

道普信息化交流2群 和道普妹妹谈心

季度热门文章