苹果安全门事件敲警钟

发布时间：2020-06-29 19:52:16 阅读：次来源：珠宝秤厂家

近日，苹果“安全门”事件备受关注。据悉，在苹果官方应用商店AppStore上架的网易云音乐等多个应用被注入Xcode第三方恶意代码，会将用户信息发送到病毒作者服务器。事件曝光后，引起了不小的震动。

9月12日，腾讯安全响应中心在跟进一个bug时发现有App存在异常行为并开始检测，发现异常流量App都是大公司的知名产品，也都是从AppStore下载并具有官方的数字签名。13日，腾讯知会中国国家互联网应急中心CNCERT。14日，CNCERT发布预警，指出开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序（苹果App）时，会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。16日，腾讯安全响应中心称，“发现 App Store上的 TOP5000 应用有 76 款被感染。”

天津大学软件学院副教授张亚平表示，因为苹果本身有一套机制，一般情况下，XcodeGhost获取的数据是有限的，如App安装时间、系统版本、语言国家等，目前尚未发现上传用户隐私信息的情况。但这并不代表威胁不存在，“钓鱼”弹窗便是潜在威胁之一。“理论上讲，XcodeGhost有可能会通过伪造弹窗来套取用户的iCloud账户和密码。不过目前来看，还没有发现其有伪造成功的案例。”张亚平建议，已经下载了名单列出的App的用户尽快将之删除或更新到安全版本，并且最好修改自己的iCloud账户密码，同时尽量启用两步验证保障安全。

对于类似的威胁，其他系统的用户是否可以幸免于难呢？据了解，iOS为封闭式系统，一向以安全著称，用户一般都会选择AppStore作为App下载途径，其应用程序审核也较为严格；而安卓作为开放式平台，相对来讲安全性很难保障。张亚平告诉记者：“通过这次事件，我们发现iOS作为一个封闭平台，其安全性都可能受到破坏。可以说，这次苹果用户所面临的威胁，对于其他平台用户，同样可能存在。”

这次的安全事件无疑给苹果官方和应用程序开发者敲响了警钟。张亚平呼吁，除了包括AppStore在内的应用商店需要适当加强安全审核机制之外，软件开发者也要遵守开发规则，本着为用户负责的态度，使用正版、未被非法篡改过的开发工具编写程序，同时注重编译环境、发布环境的安全，避免用户成为受害者。

（责任编辑：HN026）