這幾天,蘋(píng)果的安全門(mén)事件可謂是沸沸揚揚。而之所以受到空前關(guān)注,其主要原因是曾經(jīng)在我們腦海中的一個(gè)安全“神話(huà)”被打破了。一直以來(lái),大家心里總認為安卓系統是裸奔,蘋(píng)果系統則相對比較安全,只要用戶(hù)不要隨意越獄,基本上是可以忽略對安全問(wèn)題的擔憂(yōu)。結果這一神話(huà)卻被XCodeGhost這一木馬給打破了。這不僅激起了業(yè)內的大討論,更吸引了大家的共同關(guān)注,畢竟蘋(píng)果的用戶(hù)量還是非常龐大的。
實(shí)際上,在9月14日,國家互聯(lián)網(wǎng)應急中心就已經(jīng)發(fā)布了“關(guān)于使用非蘋(píng)果官方Xcode存在植入惡意代碼情況的預警通報”;之后于9月17日,烏云網(wǎng)和硅谷安全公司PaloAlto發(fā)布安全預警并提醒開(kāi)發(fā)者小心,并指出XCodeGhost雖然沒(méi)有非常嚴重的惡意行為,但是這種病毒傳播方式在iOS上還是首次;直到9月18日,由“XCodeGhost”事件所引發(fā)的蘋(píng)果安全門(mén)事件被證實(shí),并且由相關(guān)的安全平臺對蘋(píng)果的APP進(jìn)行了各種監測、統計,幾乎可以用“全軍覆沒(méi)”來(lái)形容,覆蓋了我們常用的大部分APP,如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。
蘋(píng)果APP一旦被感染了病毒之后,其后果遠超出我們想象。黑客幾乎可以通過(guò)遠程的方式完成所有事情:打電話(huà)、發(fā)短信、打開(kāi)第三方APP進(jìn)行操作,甚至要想獲取用戶(hù)手機中的信息,或一些個(gè)人特殊愛(ài)好的照片,那都是輕而易舉的事情。那么這次蘋(píng)果的安全門(mén)事件到底是怎么發(fā)生的?
蘋(píng)果安全門(mén)到底是怎么發(fā)生的?
我們都知道蘋(píng)果AppStore里的各種應用都是由蘋(píng)果審核發(fā)布的,并且需要采用蘋(píng)果自家所提供的Xcode代碼進(jìn)行開(kāi)發(fā),正是基于這兩方面的原因促使了蘋(píng)果系統相對于安卓的安全性能要高很多。而此時(shí)能夠對蘋(píng)果APP造成沖擊的機會(huì )只有兩方面:一是直接攻擊蘋(píng)果的IOS操作系統,而這樣做顯然并不明智,這就意味著(zhù)告訴蘋(píng)果公司我在攻擊你,并促使蘋(píng)果公司做出保護措施;二是借助于A(yíng)PP的開(kāi)發(fā)代碼,在開(kāi)發(fā)代碼中植入相應的病毒,當開(kāi)發(fā)者使用了這個(gè)代碼進(jìn)行開(kāi)發(fā)時(shí),其后果當然就是等著(zhù)中槍。按理說(shuō)這種方式也很難成功,因為蘋(píng)果所發(fā)布的源代碼是在自己的服務(wù)器上,黑客們在這個(gè)環(huán)節的下手也很容易會(huì )被蘋(píng)果公司發(fā)現。
在這種高規格的封閉保護體系下,蘋(píng)果的安全門(mén)又是如何被制造出來(lái)的呢?那就是我們所賴(lài)以開(kāi)發(fā)的源代碼被篡改過(guò)。也就是說(shuō)目前國內大部分的蘋(píng)果APP開(kāi)發(fā)者所開(kāi)發(fā)的Xcode源代碼并不是源代碼,而是被動(dòng)了手腳的“原”代碼。這個(gè)問(wèn)題與我們國內AppStore的特殊狀況有關(guān),經(jīng)常打不開(kāi),下載速度慢,是國內版AppStore的常態(tài)。
這也就意味著(zhù)國內的開(kāi)發(fā)者要想直接通過(guò)訪(fǎng)問(wèn)蘋(píng)果公司的網(wǎng)站來(lái)獲取Xcode,這就變成了一件相對困難的事情,因為Xcode是一個(gè)具有幾GB的大容量源代碼,要想下載下來(lái)并非易事。于是就有人看到了這個(gè)“痛點(diǎn)”,在自己下載的原版Xcode上做了點(diǎn)小動(dòng)作,也就是我們今天所看到的XcodeGhost木馬。之后將這個(gè)帶有XcodeGhost木馬的Xcode通過(guò)各種渠道發(fā)布到了國內的各種平臺上供開(kāi)發(fā)者下載。
蘋(píng)果APP的開(kāi)發(fā)者通常是項目制的,不論是外包或是自行開(kāi)發(fā)。接到了相應的開(kāi)發(fā)項目之后,開(kāi)發(fā)者為了快速完成任務(wù),必然會(huì )找比較快捷的途徑選擇Xcode的源代碼,往往忽略了對這個(gè)源代碼的可靠性進(jìn)行核實(shí)。與其說(shuō)忽略了核實(shí),倒不如理解為對于國內的開(kāi)發(fā)者來(lái)說(shuō)根本難以核實(shí),因為我們連真的都還沒(méi)見(jiàn)到過(guò),何談問(wèn)題的辨識。那么,當我們基于這種非源代碼所開(kāi)發(fā)的APP應用,在開(kāi)發(fā)完成的時(shí)候就已經(jīng)成為“病毒”攜帶者。
這到底是誰(shuí)的問(wèn)題?
面對這次事件的發(fā)生,顯然我們需要透過(guò)這次事件來(lái)思考到底是哪些環(huán)節出了問(wèn)題,或者說(shuō)到底是誰(shuí)的責任導致了這樣一次安全門(mén)事件的發(fā)生,在我看來(lái)蘋(píng)果公司是問(wèn)題的核心。
按理說(shuō),如果蘋(píng)果公司能夠也應該在對應用審核時(shí)多留個(gè)“心眼”,特別是對于來(lái)自于中國的應用,這次的問(wèn)題就可以避免。當然我將這句話(huà)并不是詆毀我們這個(gè)民族,而是我們這個(gè)民族中總有一些人喜歡給自己人挖坑,喜歡給自己人抹黑,就如地溝油、三聚氰胺一樣。遺憾的是蘋(píng)果公司太“善良”,忽略了我們對其源代碼進(jìn)行改造的能力,在最終APP進(jìn)入AppStore的環(huán)節中缺失了對木馬病毒做更深入的檢查。
其次,蘋(píng)果公司沒(méi)有根據不同國家的國情來(lái)因地制宜完善他們的管理體系。表面上來(lái)看,蘋(píng)果公司非常清楚我們的國情以及我們的監管體系,因為AppStore在中國本身就是一種本土化的AppStore,與境外的AppStore是有區別的,在國內注冊的AppStore到了國外之后有很多應用程序是被禁止下載的。
但從這次事件來(lái)看,顯然從蘋(píng)果公司的角度來(lái)看,蘋(píng)果的重視程度更多的只是體現在銷(xiāo)售上,而在真正的市場(chǎng)體系層面,缺乏針對中國市場(chǎng)的針對性投入。在完整的生態(tài)構建上,缺失了對開(kāi)發(fā)者的關(guān)照。
凸顯物聯(lián)網(wǎng)時(shí)代的心病
蘋(píng)果這次的安全門(mén)事件凸顯的并不是蘋(píng)果本身的問(wèn)題,而是即將到來(lái)的整個(gè)物聯(lián)網(wǎng)時(shí)代的問(wèn)題。根據阿卡邁技術(shù)公司(AkamaiTechnologies, Inc.,以下簡(jiǎn)稱(chēng):Akamai)發(fā)布的《2015年第二季度互聯(lián)網(wǎng)發(fā)展狀況安全報告》來(lái)看,在過(guò)去三個(gè)季度內,DDoS攻擊量同比增長(cháng)了一倍。2015年第二季度,盡管攻擊者傾向于發(fā)起不太強烈但持續時(shí)間較長(cháng)的攻擊,但危險的大規模攻擊數量持續上升;12起攻擊的峰值流量超過(guò)了100 Gbps,5起攻擊的包轉發(fā)率峰值超過(guò)了50Mpps。只有極少數的企業(yè)能夠以一己之力承受住這樣的攻擊。
隨著(zhù)物聯(lián)網(wǎng)時(shí)代的到來(lái),當包括人在內的萬(wàn)物都智能化、數據化、云端化之后,當產(chǎn)品的價(jià)值由過(guò)去基于前端硬件本身的利益獲取轉向后端的數據挖掘進(jìn)行實(shí)現時(shí),必然將激發(fā)黑客市場(chǎng)。在智能硬件時(shí)代之前,我們的產(chǎn)品只是基于產(chǎn)品本身的硬件來(lái)思考其是否會(huì )發(fā)生質(zhì)量安全問(wèn)題;但在智能硬件時(shí)代,產(chǎn)品硬件本身并不承載價(jià)值的核心,而只是價(jià)值的一個(gè)載體,大部分的價(jià)值將借助于軟件應用來(lái)實(shí)現、來(lái)挖掘。
這種價(jià)值被轉移之后,必然就會(huì )促使更多人關(guān)注軟層面的價(jià)值獲取。哪里有價(jià)值哪里就會(huì )有關(guān)注,這是商業(yè)社會(huì )中人在利益驅使下的一種本能。如何保障數據、信息安全,則是大數據時(shí)代的一大挑戰。而蘋(píng)果這次的事件可以說(shuō)只是這個(gè)時(shí)代的一個(gè)縮影事件。
通過(guò)這次事件至少給了我們幾點(diǎn)啟示:一是對于系統、平臺服務(wù)商來(lái)說(shuō),沒(méi)有完美到無(wú)懈可擊的“安全”系統,只有一個(gè)階段的“安全”系統,要想維持系統的持續安全性,就必須不斷地在技術(shù)層面加強安全提升;二是各國政府需要在物聯(lián)網(wǎng)時(shí)代加強合作,盡快出臺相關(guān)的監管法律法規,借助于法律法規來(lái)約束、降低“安全”風(fēng)險;三是對各智能硬件領(lǐng)域廠(chǎng)家而言,我們今天都在借助于軟件層面,也就是各種APP的應用來(lái)實(shí)現智能化,來(lái)挖掘硬件產(chǎn)品本身的潛在價(jià)值,那么如何從自身的軟件、硬件層面來(lái)給安全增加一道防線(xiàn),這將是2016年產(chǎn)品開(kāi)發(fā)者的重點(diǎn)方向。
