这几天,苹果的安全门事件可谓是沸沸扬扬。而之所以受到空前关注,其主要原因是曾经在我们脑海中的一个安全“神话”被打破了。一直以来,大家心里总认为安卓系统是裸奔,苹果系统则相对比较安全,只要用户不要随意越狱,基本上是可以忽略对安全问题的担忧。结果这一神话却被XCodeGhost这一木马给打破了。这不仅激起了业内的大讨论,更吸引了大家的共同关注,毕竟苹果的用户量还是非常庞大的。
实际上,在9月14日,国家互联网应急中心就已经发布了“关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报”;之后于9月17日,乌云网和硅谷安全公司PaloAlto发布安全预警并提醒开发者小心,并指出XCodeGhost虽然没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次;直到9月18日,由“XCodeGhost”事件所引发的苹果安全门事件被证实,并且由相关的安全平台对苹果的APP进行了各种监测、统计,几乎可以用“全军覆没”来形容,覆盖了我们常用的大部分APP,如微信、滴滴、高德、同花顺、天涯、中信银行、喜马拉雅、南方航空等。
苹果APP一旦被感染了病毒之后,其后果远超出我们想象。黑客几乎可以通过远程的方式完成所有事情:打电话、发短信、打开第三方APP进行操作,甚至要想获取用户手机中的信息,或一些个人特殊爱好的照片,那都是轻而易举的事情。那么这次苹果的安全门事件到底是怎么发生的?
苹果安全门到底是怎么发生的?
我们都知道苹果AppStore里的各种应用都是由苹果审核发布的,并且需要采用苹果自家所提供的Xcode代码进行开发,正是基于这两方面的原因促使了苹果系统相对于安卓的安全性能要高很多。而此时能够对苹果APP造成冲击的机会只有两方面:一是直接攻击苹果的IOS操作系统,而这样做显然并不明智,这就意味着告诉苹果公司我在攻击你,并促使苹果公司做出保护措施;二是借助于APP的开发代码,在开发代码中植入相应的病毒,当开发者使用了这个代码进行开发时,其后果当然就是等着中枪。按理说这种方式也很难成功,因为苹果所发布的源代码是在自己的服务器上,黑客们在这个环节的下手也很容易会被苹果公司发现。
在这种高规格的封闭保护体系下,苹果的安全门又是如何被制造出来的呢?那就是我们所赖以开发的源代码被篡改过。也就是说目前国内大部分的苹果APP开发者所开发的Xcode源代码并不是源代码,而是被动了手脚的“原”代码。这个问题与我们国内AppStore的特殊状况有关,经常打不开,下载速度慢,是国内版AppStore的常态。
这也就意味着国内的开发者要想直接通过访问苹果公司的网站来获取Xcode,这就变成了一件相对困难的事情,因为Xcode是一个具有几GB的大容量源代码,要想下载下来并非易事。于是就有人看到了这个“痛点”,在自己下载的原版Xcode上做了点小动作,也就是我们今天所看到的XcodeGhost木马。之后将这个带有XcodeGhost木马的Xcode通过各种渠道发布到了国内的各种平台上供开发者下载。
苹果APP的开发者通常是项目制的,不论是外包或是自行开发。接到了相应的开发项目之后,开发者为了快速完成任务,必然会找比较快捷的途径选择Xcode的源代码,往往忽略了对这个源代码的可靠性进行核实。与其说忽略了核实,倒不如理解为对于国内的开发者来说根本难以核实,因为我们连真的都还没见到过,何谈问题的辨识。那么,当我们基于这种非源代码所开发的APP应用,在开发完成的时候就已经成为“病毒”携带者。
这到底是谁的问题?
面对这次事件的发生,显然我们需要透过这次事件来思考到底是哪些环节出了问题,或者说到底是谁的责任导致了这样一次安全门事件的发生,在我看来苹果公司是问题的核心。
按理说,如果苹果公司能够也应该在对应用审核时多留个“心眼”,特别是对于来自于中国的应用,这次的问题就可以避免。当然我将这句话并不是诋毁我们这个民族,而是我们这个民族中总有一些人喜欢给自己人挖坑,喜欢给自己人抹黑,就如地沟油、三聚氰胺一样。遗憾的是苹果公司太“善良”,忽略了我们对其源代码进行改造的能力,在最终APP进入AppStore的环节中缺失了对木马病毒做更深入的检查。
其次,苹果公司没有根据不同国家的国情来因地制宜完善他们的管理体系。表面上来看,苹果公司非常清楚我们的国情以及我们的监管体系,因为AppStore在中国本身就是一种本土化的AppStore,与境外的AppStore是有区别的,在国内注册的AppStore到了国外之后有很多应用程序是被禁止下载的。
但从这次事件来看,显然从苹果公司的角度来看,苹果的重视程度更多的只是体现在销售上,而在真正的市场体系层面,缺乏针对中国市场的针对性投入。在完整的生态构建上,缺失了对开发者的关照。
凸显物联网时代的心病
苹果这次的安全门事件凸显的并不是苹果本身的问题,而是即将到来的整个物联网时代的问题。根据阿卡迈技术公司(AkamaiTechnologies, Inc.,以下简称:Akamai)发布的《2015年第二季度互联网发展状况安全报告》来看,在过去三个季度内,DDoS攻击量同比增长了一倍。2015年第二季度,尽管攻击者倾向于发起不太强烈但持续时间较长的攻击,但危险的大规模攻击数量持续上升;12起攻击的峰值流量超过了100 Gbps,5起攻击的包转发率峰值超过了50Mpps。只有极少数的企业能够以一己之力承受住这样的攻击。
随着物联网时代的到来,当包括人在内的万物都智能化、数据化、云端化之后,当产品的价值由过去基于前端硬件本身的利益获取转向后端的数据挖掘进行实现时,必然将激发黑客市场。在智能硬件时代之前,我们的产品只是基于产品本身的硬件来思考其是否会发生质量安全问题;但在智能硬件时代,产品硬件本身并不承载价值的核心,而只是价值的一个载体,大部分的价值将借助于软件应用来实现、来挖掘。
这种价值被转移之后,必然就会促使更多人关注软层面的价值获取。哪里有价值哪里就会有关注,这是商业社会中人在利益驱使下的一种本能。如何保障数据、信息安全,则是大数据时代的一大挑战。而苹果这次的事件可以说只是这个时代的一个缩影事件。
通过这次事件至少给了我们几点启示:一是对于系统、平台服务商来说,没有完美到无懈可击的“安全”系统,只有一个阶段的“安全”系统,要想维持系统的持续安全性,就必须不断地在技术层面加强安全提升;二是各国政府需要在物联网时代加强合作,尽快出台相关的监管法律法规,借助于法律法规来约束、降低“安全”风险;三是对各智能硬件领域厂家而言,我们今天都在借助于软件层面,也就是各种APP的应用来实现智能化,来挖掘硬件产品本身的潜在价值,那么如何从自身的软件、硬件层面来给安全增加一道防线,这将是2016年产品开发者的重点方向。
