苹果iOS中招:网络安全无一家可独善其身

发布时间:2018-03-06 08:55
最近,XcodeGhost入侵苹果iOS事件在业内引起不小震动。事件起因为不知名黑客向iOS应用开发工具Xcode植入恶意程序,通过开发人员之手传播被感染的App并以此劫持苹果用户相关信息。来自多个安全团队数据显示,病毒感染波及AppStore下载量最高的5000个App其中的76个,保守估计受影响用户数超过一亿。
 
由病毒感染源、传播途径、传播方式以及波及范围来看,XcodeGhost事件毫无疑问已是移动互联以来威胁最大、影响最深的移动操作系统安全事件。事情发生多天之后,整个业界沉浸在一片热议和反思之中,更多人表现出的是不停抱怨。有人抱怨苹果官方审核不力,有人抱怨开发者工作不慎,更有人抱怨用户安全意识不高。我们认为,此次XcodeGhost事件非比寻常,其当事任何一方都难以独自承担责任之重。
 
黑客诡异布局,防不胜防
 
此次安全事件感染源在于苹果集成开发工具Xcode,借程序员之手将恶意代码植入正在编译的App之中,相比直接将恶意代码植入应用程序中为数众多的安全案例而言,这种情况实属少见且防不胜防。
 
黑客为什么选择Xcode作为感染源,从网上透露的各种开发社区、人气下载站的数十个版本的Xcode均被植入恶意代码一事可见,黑客对国内Xcode用户(开发者)热衷于通过非官方渠道下载IDE的习惯了如指掌。
 
为什么选择苹果用户下手?无非为了更丰厚的利益。根据央视对此次事件的“黑产”报道,加之苹果手机所处的高端优势地位意味着其用户群体相对具有更高的信息价值,而黑客的行为动机亦可见一斑。由此可见XcodeGhost事件是一次精心策划的黑客行为,其布局诡异、来之突然令人猝不及防。
 
开发者疏于防备,大公司怠于制度
 
事件中的开发者是无心的,他们是被利用的一方。至于开发者为什么习惯于通过非官方平台下载Xcode也有着特殊原因。我们知道苹果提供了Xcode免费下载渠道,然而许多开发者经常抱怨Mac App Store不仅打开慢,下载速度更是慢得让人无法忍受。由于苹果官网服务器架设在国外,而国内网民数量巨大,国际出口带宽已达4717761Mbps,加之访问国外站点需经过更多路由节点,速度慢那是必然的。就算是情况较好的bing,你ping它试试,依然比国内主流网站慢上20—200ms。这是一个普遍现象。
 
既然如此,就由不得开发者去百度其他下载链接,无意中钻进了黑客的陷阱。另外,国内的程序员大多有个不好的习惯,下完重要的东西后经常忘了MD5和SHA1校验,在带宽资源远比今天贫瘠的年代我们尚在培养好的下载习惯,如今这种好的习惯却被渐渐忘却。
 
另外,照理说大公司的技术部门一般都有严格的作业制度,重要的软件、配置、开发工具之类必须事先存储于内网服务器或是NAS、SAN之上以供分发,并按时检查更新。然而,从主流应用被大量感染的结果来看,想必是这些日常制度都被怠慢了。
 
苹果方无可厚非,但仍有责任
 
许多人将此次事件归咎于苹果公司,认为苹果夸大了iOS封闭系统的安全性,事实上这并无可厚非,殊不知世上本无绝对安全的操作系统。网络安全与操作系统本身并无直接关联,所谓树大招风,在操作系统安全史上有着很好的诠释。PC时代一些醉心于类unix的开发者总是不停褒美着Linux系统的安全性,事实上,并非Linux真的比Windows安全,而是Linux的用户实在是少数,针对Linux的安全案例同样是少数。同理,移动时代与PC Windows一脉相承的WP系统亦很少有安全问题上的案例。
 
另外,苹果公司在操作系统研发功底与沉淀上技术实力远不如微软,面对系统级安全一时失语尚不为过,但其补救姗姗来迟和过于消极的态度就显得不够诚意。至少,苹果在App审核不力上仍有一定责任。
 
普通用户是最大受害者
 
用户是最无辜的,而普通用户是最大的受害者。为什么说是普通用户?众所周知,苹果产品依靠高端品牌、注重体验与大走时尚、奢侈品路线而吸引了众多粉丝,一个有趣的现象是,许多外媒认为苹果用户是最爱慕虚荣和不懂技术的科技产品使用群体,俗称IT“小白”,这与PC时代随着软硬件技术一点点成长起来的“老鸟”而言,大多数苹果用户就显得“普通”多了。
 
来自国外一家某安全团队抽样调查数据显示:有40%的苹果用户无法找到iTunes下载并完成安装(windows系统?),超过75%的用户不会更改、设置iPhone/iPad的静态ip地址。正是这样的“普通”用户群体,在信息网络安全事件面前,缺乏安全意识和必要的操作知识使他们完全变成了无助的羔羊。
 
小结
 
问题爆发数日之后,苹果公司终于作出正面回应并下架所有问题App,各主流应用开发者及时更新替换了被感染的程序,各方安全团队亦对问题继续跟进。但是这并没有结束,事件仍在继续发酵,初见端倪的XcodeGhost或许只是冰山一角。
 
然而事件的所有见证者都必须重视的是,信息与网络安全是整个业界必须共同承担的大事,即便是苹果、微软这样的巨头也难以独自承受其重。假使程序员多一些强迫症式的“洁癖”,技术部门的日常制度不再流于形式,用户多学一些安全知识,苹果对iOS的安全性亦能止步于吹嘘,那么对类似XcodeGhost问题的防御也能随之加强。