這幾天,蘋果的安全門事件可謂是沸沸揚揚。而之所以受到空前關註,其主要原因是曾經在我們腦海中的一個安全“神話”被打破瞭。一直以來,大傢心裡總認為安卓系統是裸奔,蘋果系統則相對比較安全,隻要用戶不要隨意越獄,基本上是可以忽略對安全問題的擔憂。結果這一神話卻被XCodeGhost這一木馬給打破瞭。這不僅激起瞭業內的大討論,更吸引瞭大傢的共同關註,畢竟蘋果的用戶量還是非常龐大的。
實際上,在9月14日,國傢互聯網應急中心就已經發佈瞭“關於使用非蘋果官方Xcode存在植入惡意代碼情況的預警通報”;之後於9月17日,烏雲網和矽谷安全公司PaloAlto發佈安全預警並提醒開發者小心,並指出XCodeGhost雖然沒有非常嚴重的惡意行為,但是這種病毒傳播方式在iOS上還是首次;直到9月18日,由 “XCodeGhost”事件所引發的蘋果安全門事件被證實,並且由相關的安全平臺對蘋果的APP進行瞭各種監測、統計,幾乎可以用“全軍覆沒”來形容,覆蓋瞭我們常用的大部分APP,如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。
蘋果APP一旦被感染瞭病毒之後,其後果遠超出我們想象。黑客幾乎可以通過遠程的方式完成所有事情:打電話、發短信、打開第三方APP進行操作,甚至要想獲取用戶手機中的信息,或一些個人特殊愛好的照片,那都是輕而易舉的事情。那麼這次蘋果的安全門事件到底是怎麼發生的?
蘋果安全門到底是怎麼發生的?
我們都知道蘋果AppStore裡的各種應用都是由蘋果審核發佈的,並且需要采用蘋果自傢所提供的Xcode代碼進行開發,正是基於這兩方面的原因促使瞭蘋果系統相對於安卓的安全性能要高很多。而此時能夠對蘋果APP造成沖擊的機會隻有兩方面:一是直接攻擊蘋果的IOS操作系統,而這樣做顯然並不明智,這就意味著告訴蘋果公司我在攻擊你,並促使蘋果公司做出保護措施;二是借助於APP的開發代碼,在開發代碼中植入相應的病毒,當開發者使用瞭這個代碼進行開發時,其後果當然就是等著中槍。按理說這種方式也很難成功,因為蘋果所發佈的源代碼是在自己的服務器上,黑客們在這個環節的下手也很容易會被蘋果公司發現。
在這種高規格的封閉保護體系下,蘋果的安全門又是如何被制造出來的呢?那就是我們所賴以開發的源代碼被篡改過。也就是說目前國內大部分的蘋果APP開發者所開發的Xcode源代碼並不是源代碼,而是被動瞭手腳的“原”代碼。這個問題與我們國內AppStore的特殊狀況有關,經常打不開,下載速度慢,是國內版AppStore的常態。
這也就意味著國內的開發者要想直接通過訪問蘋果公司的網站來獲取Xcode,這就變成瞭一件相對困難的事情,因為Xcode是一個具有幾GB的大容量源代碼,要想下載下來並非易事。於是就有人看到瞭這個“痛點”,在自己下載的原版 Xcode上做瞭點小動作,也就是我們今天所看到的XcodeGhost木馬。之後將這個帶有XcodeGhost木馬的Xcode通過各種渠道發佈到瞭國內的各種平臺上供開發者下載。
蘋果APP的開發者通常是項目制的,不論是外包或是自行開發。接到瞭相應的開發項目之後,開發者為瞭快速完成任務,必然會找比較快捷的途徑選擇Xcode的源代碼,往往忽略瞭對這個源代碼的可靠性進行核實。與其說忽略瞭核實,倒不如理解為對於國內的開發者來說根本難以核實,因為我們連真的都還沒見到過,何談問題的辨識。那麼,當我們基於這種非源代碼所開發的APP應用,在開發完成的時候就已經成為“病毒” 攜帶者。
這到底是誰的問題?
面對這次事件的發生,顯然我們需要透過這次事件來思考到底是哪些環節出瞭問題,或者說到底是誰的責任導致瞭這樣一次安全門事件的發生,在我看來蘋果公司是問題的核心。
按理說,如果蘋果公司能夠也應該在對應用審核時多留個“心眼”,特別是對於來自於中國的應用,這次的問題就可以避免。當然我將這句話並不是詆毀我們這個民族,而是我們這個民族中總有一些人喜歡給自己人挖坑,喜歡給自己人抹黑,就如地溝油、三聚氰胺一樣。遺憾的是蘋果公司太“善良”,忽略瞭我們對其源代碼進行改造的能力,在最終APP進入AppStore的環節中缺失瞭對木馬病毒做更深入的檢查。
其次,蘋果公司沒有根據不同國傢的國情來因地制宜完善他們的管理體系。表面上來看,蘋果公司非常清楚我們的國情以及我們的監管體系,因為AppStore在中國本身就是一種本土化的 AppStore,與境外的AppStore是有區別的,在國內註冊的AppStore到瞭國外之後有很多應用程序是被禁止下載的。
但從這次事件來看,顯然從蘋果公司的角度來看,蘋果的重視程度更多的隻是體現在銷售上,而在真正的市場體系層面,缺乏針對中國市場的針對性投入。在完整的生態構建上,缺失瞭對開發者的關照。
凸顯物聯網時代的心病
蘋果這次的安全門事件凸顯的並不是蘋果本身的問題,而是即將到來的整個物聯網時代的問題。根據阿卡邁技術公司(AkamaiTechnologies, Inc.,以下簡稱:Akamai)發佈的《2015年第二季度互聯網發展狀況安全報告》來看,在過去三個季度內,DDoS攻擊量同比增長瞭一倍。 2015年第二季度,盡管攻擊者傾向於發起不太強烈但持續時間較長的攻擊,但危險的大規模攻擊數量持續上升;12起攻擊的峰值流量超過瞭100 Gbps,5起攻擊的包轉發率峰值超過瞭50Mpps。隻有極少數的企業能夠以一己之力承受住這樣的攻擊。
隨著物聯網時代的到來,當包括人在內的萬物都智能化、數據化、雲端化之後,當產品的價值由過去基於前端硬件本身的利益獲取轉向後端的數據挖掘進行實現時,必然將激發黑客市場。在智能硬件時代之前,我們的產品隻是基於產品本身的硬件來思考其是否會發生質量安全問題;但在智能硬件時代,產品硬件本身並不承載價值的核心,而隻是價值的一個載體,大部分的價值將借助於軟件應用來實現、來挖掘。
這種價值被轉移之後,必然就會促使更多人關註軟層面的價值獲取。哪裡有價值哪裡就會有關註,這是商業社會中人在利益驅使下的一種本能。如何保障數據、信息安全,則是大數據時代的一大挑戰。而蘋果這次的事件可以說隻是這個時代的一個縮影事件。
通過這次事件至少給瞭我們幾點啟示:一是對於系統、平臺服務商來說,沒有完美到無懈可擊的“安全”系統,隻有一個階段的“安全”系統,要想維持系統的持續安全性,就必須不斷地在技術層面加強安全提升;二是各國政府需要在物聯網時代加強合作,盡快出臺相關的監管法律法規,借助於法律法規來約束、降低“安全”風險;三是對各智能硬件領域廠傢而言,我們今天都在借助於軟件層面,也就是各種APP的應用來實現智能化,來挖掘硬件產品本身的潛在價值,那麼如何從自身的軟件、硬件層面來給安全增加一道防線,這將是2016年產品開發者的重點方向。
安卓並沒有因此獲益
盡管這次事件看起來是蘋果中招瞭,但冷靜地想想,安卓廠商卻並沒有因此而獲益。或許很多人在竊喜“果粉”們終於中招瞭,豈不知除果粉之外的各種“粉”的危機更大。我們都知道蘋果是一個相對比較封閉的系統,其上面所發佈的應用采用的是相對嚴格的審核制,這種相對嚴格、封閉的體系在今天都會出現問題,那麼這個開放的安卓系統,其背後潛伏著的危機將會有多恐怖。
隨著智能手機使用率的上升,病毒的趨勢也從PC轉向瞭手機。據獵豹移動安全實驗室發佈的《2014-2015中國互聯網安全研究報告》顯示,2014年全球感染病毒的安卓手機計2.8億部,平均每天80萬部安卓手機中毒,中國以近 1.2億部手機中毒高居榜首,中國已成為全球受安卓病毒之害最嚴重的國傢。
這組數據還隻是2014年一個機構的監測數據,如果把各自監測數據都綜合起來,其後果恐怕就是今天的安卓系統集體中槍。不論各基於安卓系統的手機品牌承認與否,用戶的數據信息基本難以獲得有效保護,各種惡意軟件與應用更是防不勝防。不過這也激發瞭另外一個市場,也就是基於移動終端智能產品的安全軟件,這個市場的需求將會隨著物聯網時代的爆發而共同爆發。
智能時代的消費者權益誰來保護
回顧歷史,互聯網領域的安全事件時有發生,但對於給用戶造成的損失似乎從來就沒有一個說法。這其中反映出瞭一個市場監管滯後的問題,也就是說我們在互聯網時代的消費者權利保障體系嚴重缺位。基於互聯網為載體的產品,其本質也是一種產品,隻是與過去的硬產品不同,其借助於互聯網這一信息化手段“軟”化瞭。
在過去硬產品時代,對於各種產品的質量,我們有相對健全的保障體系,尤其是對於消費者的權益保障。但是面對互聯網大行其道的今天,各種基於互聯網改造的軟產品不斷豐富,我們的生活與消費也從過去依賴於硬產品為主的方式轉向於今天依賴於軟產品為核心,那麼當這些產品在使用過程中出現瞭相關的“質量”問題,或者是安全問題,是否應該給消費者一個說法,是否應該給予消費者一種正常的“權利”。
過去基於硬產品的生活、消費模式如果出現瞭產品質量問題,無非是圍繞產品造成瞭一些不便。但今天圍繞著軟應用產品出現瞭質量問題、信息安全問題,其對用戶所造成的損失與困擾將是更加嚴重和深遠,甚至牽涉到公民隱私權的問題。因此,我倡議有關部門應該盡快出臺基於互聯網的相關監管法規,尤其是牽涉到公民權利部分:一方面是為瞭維護公民的權利;另外一方面則是約束相關的企業加強責任意識,在獲取商業利益的同時必須承擔起保護用戶隱私、安全的責任。
蘋果的事件不會是終點,我們在使用相關軟產品時,一旦這些產品出現瞭問題,相關企業是否應該承擔相應的責任,是否應該給用戶一個說法。總不能一直這樣“沉默”下去,把用戶的隱私信息不當回事,這顯然是不合適的。我認為不僅要對信息的保護與泄露要有說法,同時有關部門還要形成對信息泄露的責任追溯,這才能有效的降低用戶使用軟件產品的風險,以及降低由此所帶來的傷害。
新鮮資訊,深度好文,請繼續關註蘋果資訊站>>>點擊進入