苹果应用商店遭病毒入侵 网络安全之殇仍待解


这边厢苹果iPhone 6S卖得热火朝天,那边厢APP Store遭遇了自上线以来堪称最大规模的攻击。据《北京日报》近日报道,此次苹果上百款APP感染了XcodeGhost木马,包括微信、百度音乐、网易云音乐、滴滴出行等知名APP均被渗透。

目前,苹果已经将受感染的APP下架,也关闭了木马制造者用于接收窃取信息的服务器。值得一提的是,苹果强调此次事件未造成用户的信息泄露,但仍难无法改变用户对于手机信息安全的担忧。此番苹果事件给用户一个深刻的领悟,在APP上线之前,除了开发及编译工具应该是需要重兵把守城门之外,还需要国产操作系统的继续努力。当然,对于用户来说,及时衡量网络行为,提高网络安全意识,才能减少类似事件的发生。

苹果APP Store被植入恶意程序

随着智能手机的逐渐普及,手机木马病毒也开始蠢蠢欲动纷纷瞄准人们越来越离不开的智能手机。除了安卓手机经常被曝出中病木马毒外,近日苹果的APP Store也难逃一劫。

近日,CNCERT发布了一篇《关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报》,声称开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。

这也意味着,从第三方源下载的Xcode(苹果平台IDE)被植入恶意代码,使用受感染的Xcode编译、生成的应用中会被植入后门,包括:iOS,iPhone模拟器,Mac OS X。而被植入恶意代码的iOS应用会向服务器上传信息,具体信息包括:时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备唯一标识UUID、网络类型。当用户上传至AppStore并被用户下载安装,就会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。

针对苹果应用商店被曝有部分应用程序感染了恶意代码,美国苹果公司也证实,其官方开发工具软件Xcode遭到黑客攻击和修改,致使用其开发的很多应用程序也被感染。不过,苹果还表示其已从应用商店删除了这些被植入恶意代码的应用。

据360NirvanTeam提供的最新数据显示,共发现1077款APP感染XcodeGhost木马,其中不乏百度音乐、微信、滴滴、12306、名片全能王、愤怒的小鸟2等用户量极大的APP,涉及互联网、金融、铁路航空、游戏等领域。

用户信息安全堪忧

苹果XcodeGhost恶意程序事件不禁令人想起去年同期,由于iCloud漏洞引起的多位好莱坞明星私照被曝光的事件。诸多果粉心生疑虑,苹果产品标榜的“安全”性能难道不复存在了吗?

人民网此前报道,苹果公司于2014年7月承认,可以通过一项未公开的技术获取iPhone用户的短信、通讯录和照片等个人数据,但否认为情报部门服务。事实上,在去年iCloud 事件发生后,多国“禁令”使用苹果产品,譬如俄罗斯甚至立法规定从2015年1月起禁止使用苹果公司产品。虽然苹果表示此次应用商店事件未对用户信息造成损害,但用户使用了被植入XcodeGhost恶意代码的APP后,APP会自动向病毒制造者的服务器上传诸如手机型号、系统版本、应用名称、应用使用时间、系统语言等隐私信息。因此,用户对信息安全的隐忧仍无法消除。

微博网友“唐巧_boy”称:“XcodeGhost这件事情,苹果自己也有责任,Mac App Store下载速度慢得要死,每次下Xcode花个几十分钟非常正常,这才造成大家都用迅雷和百度网盘这种非官方渠道。就说现在吧,我的Mac系统更新了一上午,还是处于卡顿无进度状态。”此外, 安言咨询总经理张耀疆认为,“苹果商店的事件反映了一种潜在风险,即在用户甚至开发商不知晓的情况下,也有泄露所有个人信息的可能性。即使这次解决了,开发者也很难保证下次不出现类似问题,因为这不是一家能解决的问题,而是整个移动开发链条上的问题。”

信息安全需未雨绸缪

移动互联网的快速发展,虽然便捷了人与人之间的距离,但信息安全也一跃成为了议论焦点。苹果XcodeGhost木马事件背后,用户的信息安全隐忧值得深思,如何正确地利用好互联网,是当前急需解决的问题。

第一,不论是苹果系统的安全隐患还是安卓手机木马病毒,对于保障国人的信息安全所需要的是自己开发出优秀的国产手机操作系统。此前Windows10操作系统也被指出存在安全漏洞,腾讯电脑管家和360甚至相继发布公告,暂缓Windows10升级助手服务。如果不使用我国自主研发的操作系统,系统的后门钥匙始终掌握在别人手里,那么我国的信息安全保障就如同失去了屏障。

第二,应用开发者要有足够的安全意识,坚守第一道防线。开发者应当从源头予以保证,包括代码来源的安全干净及使用正版苹果系统。

第三,有关部门应建立必要的安全管理机制。近日,中国互联网协会发布的《中国网民权益保护调查报告2015》显示,我国有78.2%的网民个人身份信息被泄露。这就要求有关部门对网络安全管理机制的建立和把控放在一定的高度上才是良策。当然,维护网络安全,仅靠相关部门的力量远远不够,还需企业与个人的多方努力,自律与他律多措并举。

发表评论