欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁 > 新聞 > 國內(nèi) >

蘋果App中毒事件背后:消費(fèi)者權(quán)益如何保護(hù)

2015-09-22 09:52:13   作者:陳根    來源:新浪科技   評(píng)論:0  點(diǎn)擊:


  這幾天,蘋果的安全門事件可謂是沸沸揚(yáng)揚(yáng)。而之所以受到空前關(guān)注,其主要原因是曾經(jīng)在我們腦海中的一個(gè)安全“神話”被打破了。一直以來,大家心里總認(rèn)為安卓系統(tǒng)是裸奔,蘋果系統(tǒng)則相對(duì)比較安全,只要用戶不要隨意越獄,基本上是可以忽略對(duì)安全問題的擔(dān)憂。結(jié)果這一神話卻被XCodeGhost這一木馬給打破了。這不僅激起了業(yè)內(nèi)的大討論,更吸引了大家的共同關(guān)注,畢竟蘋果的用戶量還是非常龐大的。

  實(shí)際上,在9月14日,國家互聯(lián)網(wǎng)應(yīng)急中心就已經(jīng)發(fā)布了“關(guān)于使用非蘋果官方Xcode存在植入惡意代碼情況的預(yù)警通報(bào)”;之后于9月17日,烏云網(wǎng)和硅谷安全公司PaloAlto發(fā)布安全預(yù)警并提醒開發(fā)者小心,并指出XCodeGhost雖然沒有非常嚴(yán)重的惡意行為,但是這種病毒傳播方式在iOS上還是首次;直到9月18日,由“XCodeGhost”事件所引發(fā)的蘋果安全門事件被證實(shí),并且由相關(guān)的安全平臺(tái)對(duì)蘋果的APP進(jìn)行了各種監(jiān)測、統(tǒng)計(jì),幾乎可以用“全軍覆沒”來形容,覆蓋了我們常用的大部分APP,如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。

  蘋果APP一旦被感染了病毒之后,其后果遠(yuǎn)超出我們想象。黑客幾乎可以通過遠(yuǎn)程的方式完成所有事情:打電話、發(fā)短信、打開第三方APP進(jìn)行操作,甚至要想獲取用戶手機(jī)中的信息,或一些個(gè)人特殊愛好的照片,那都是輕而易舉的事情。那么這次蘋果的安全門事件到底是怎么發(fā)生的?

  蘋果安全門到底是怎么發(fā)生的?

  我們都知道蘋果AppStore里的各種應(yīng)用都是由蘋果審核發(fā)布的,并且需要采用蘋果自家所提供的Xcode代碼進(jìn)行開發(fā),正是基于這兩方面的原因促使了蘋果系統(tǒng)相對(duì)于安卓的安全性能要高很多。而此時(shí)能夠?qū)μO果APP造成沖擊的機(jī)會(huì)只有兩方面:一是直接攻擊蘋果的IOS操作系統(tǒng),而這樣做顯然并不明智,這就意味著告訴蘋果公司我在攻擊你,并促使蘋果公司做出保護(hù)措施;二是借助于APP的開發(fā)代碼,在開發(fā)代碼中植入相應(yīng)的病毒,當(dāng)開發(fā)者使用了這個(gè)代碼進(jìn)行開發(fā)時(shí),其后果當(dāng)然就是等著中槍。按理說這種方式也很難成功,因?yàn)樘O果所發(fā)布的源代碼是在自己的服務(wù)器上,黑客們?cè)谶@個(gè)環(huán)節(jié)的下手也很容易會(huì)被蘋果公司發(fā)現(xiàn)。

  在這種高規(guī)格的封閉保護(hù)體系下,蘋果的安全門又是如何被制造出來的呢?那就是我們所賴以開發(fā)的源代碼被篡改過。也就是說目前國內(nèi)大部分的蘋果APP開發(fā)者所開發(fā)的Xcode源代碼并不是源代碼,而是被動(dòng)了手腳的“原”代碼。這個(gè)問題與我們國內(nèi)AppStore的特殊狀況有關(guān),經(jīng)常打不開,下載速度慢,是國內(nèi)版AppStore的常態(tài)。

  這也就意味著國內(nèi)的開發(fā)者要想直接通過訪問蘋果公司的網(wǎng)站來獲取Xcode,這就變成了一件相對(duì)困難的事情,因?yàn)閄code是一個(gè)具有幾GB的大容量源代碼,要想下載下來并非易事。于是就有人看到了這個(gè)“痛點(diǎn)”,在自己下載的原版Xcode上做了點(diǎn)小動(dòng)作,也就是我們今天所看到的XcodeGhost木馬。之后將這個(gè)帶有XcodeGhost木馬的Xcode通過各種渠道發(fā)布到了國內(nèi)的各種平臺(tái)上供開發(fā)者下載。

  蘋果APP的開發(fā)者通常是項(xiàng)目制的,不論是外包或是自行開發(fā)。接到了相應(yīng)的開發(fā)項(xiàng)目之后,開發(fā)者為了快速完成任務(wù),必然會(huì)找比較快捷的途徑選擇Xcode的源代碼,往往忽略了對(duì)這個(gè)源代碼的可靠性進(jìn)行核實(shí)。與其說忽略了核實(shí),倒不如理解為對(duì)于國內(nèi)的開發(fā)者來說根本難以核實(shí),因?yàn)槲覀冞B真的都還沒見到過,何談問題的辨識(shí)。那么,當(dāng)我們基于這種非源代碼所開發(fā)的APP應(yīng)用,在開發(fā)完成的時(shí)候就已經(jīng)成為“病毒”攜帶者。

  這到底是誰的問題?

  面對(duì)這次事件的發(fā)生,顯然我們需要透過這次事件來思考到底是哪些環(huán)節(jié)出了問題,或者說到底是誰的責(zé)任導(dǎo)致了這樣一次安全門事件的發(fā)生,在我看來蘋果公司是問題的核心。

  按理說,如果蘋果公司能夠也應(yīng)該在對(duì)應(yīng)用審核時(shí)多留個(gè)“心眼”,特別是對(duì)于來自于中國的應(yīng)用,這次的問題就可以避免。當(dāng)然我將這句話并不是詆毀我們這個(gè)民族,而是我們這個(gè)民族中總有一些人喜歡給自己人挖坑,喜歡給自己人抹黑,就如地溝油、三聚氰胺一樣。遺憾的是蘋果公司太“善良”,忽略了我們對(duì)其源代碼進(jìn)行改造的能力,在最終APP進(jìn)入AppStore的環(huán)節(jié)中缺失了對(duì)木馬病毒做更深入的檢查。

  其次,蘋果公司沒有根據(jù)不同國家的國情來因地制宜完善他們的管理體系。表面上來看,蘋果公司非常清楚我們的國情以及我們的監(jiān)管體系,因?yàn)锳ppStore在中國本身就是一種本土化的AppStore,與境外的AppStore是有區(qū)別的,在國內(nèi)注冊(cè)的AppStore到了國外之后有很多應(yīng)用程序是被禁止下載的。

  但從這次事件來看,顯然從蘋果公司的角度來看,蘋果的重視程度更多的只是體現(xiàn)在銷售上,而在真正的市場體系層面,缺乏針對(duì)中國市場的針對(duì)性投入。在完整的生態(tài)構(gòu)建上,缺失了對(duì)開發(fā)者的關(guān)照。

  凸顯物聯(lián)網(wǎng)時(shí)代的心病

  蘋果這次的安全門事件凸顯的并不是蘋果本身的問題,而是即將到來的整個(gè)物聯(lián)網(wǎng)時(shí)代的問題。根據(jù)阿卡邁技術(shù)公司(AkamaiTechnologies, Inc.,以下簡稱:Akamai)發(fā)布的《2015年第二季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》來看,在過去三個(gè)季度內(nèi),DDoS攻擊量同比增長了一倍。2015年第二季度,盡管攻擊者傾向于發(fā)起不太強(qiáng)烈但持續(xù)時(shí)間較長的攻擊,但危險(xiǎn)的大規(guī)模攻擊數(shù)量持續(xù)上升;12起攻擊的峰值流量超過了100 Gbps,5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50Mpps。只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。

  隨著物聯(lián)網(wǎng)時(shí)代的到來,當(dāng)包括人在內(nèi)的萬物都智能化、數(shù)據(jù)化、云端化之后,當(dāng)產(chǎn)品的價(jià)值由過去基于前端硬件本身的利益獲取轉(zhuǎn)向后端的數(shù)據(jù)挖掘進(jìn)行實(shí)現(xiàn)時(shí),必然將激發(fā)黑客市場。在智能硬件時(shí)代之前,我們的產(chǎn)品只是基于產(chǎn)品本身的硬件來思考其是否會(huì)發(fā)生質(zhì)量安全問題;但在智能硬件時(shí)代,產(chǎn)品硬件本身并不承載價(jià)值的核心,而只是價(jià)值的一個(gè)載體,大部分的價(jià)值將借助于軟件應(yīng)用來實(shí)現(xiàn)、來挖掘。

  這種價(jià)值被轉(zhuǎn)移之后,必然就會(huì)促使更多人關(guān)注軟層面的價(jià)值獲取。哪里有價(jià)值哪里就會(huì)有關(guān)注,這是商業(yè)社會(huì)中人在利益驅(qū)使下的一種本能。如何保障數(shù)據(jù)、信息安全,則是大數(shù)據(jù)時(shí)代的一大挑戰(zhàn)。而蘋果這次的事件可以說只是這個(gè)時(shí)代的一個(gè)縮影事件。

  通過這次事件至少給了我們幾點(diǎn)啟示:一是對(duì)于系統(tǒng)、平臺(tái)服務(wù)商來說,沒有完美到無懈可擊的“安全”系統(tǒng),只有一個(gè)階段的“安全”系統(tǒng),要想維持系統(tǒng)的持續(xù)安全性,就必須不斷地在技術(shù)層面加強(qiáng)安全提升;二是各國政府需要在物聯(lián)網(wǎng)時(shí)代加強(qiáng)合作,盡快出臺(tái)相關(guān)的監(jiān)管法律法規(guī),借助于法律法規(guī)來約束、降低“安全”風(fēng)險(xiǎn);三是對(duì)各智能硬件領(lǐng)域廠家而言,我們今天都在借助于軟件層面,也就是各種APP的應(yīng)用來實(shí)現(xiàn)智能化,來挖掘硬件產(chǎn)品本身的潛在價(jià)值,那么如何從自身的軟件、硬件層面來給安全增加一道防線,這將是2016年產(chǎn)品開發(fā)者的重點(diǎn)方向。
 

分享到: 收藏

專題