9月25日,時(shí)隔多日,蘋(píng)果官方網(wǎng)站發(fā)布了一份名為《有關(guān)XcodeGhost的問(wèn)題和解答》的聲明。聲明中稱(chēng),蘋(píng)果正努力讓中國的開(kāi)發(fā)者可以用更快的速度下載Xcode beta版,并給出了驗證開(kāi)發(fā)工具是否被感染的驗證方法。
蘋(píng)果對于此次安全事件的解釋是,“一些開(kāi)發(fā)者下載了已被惡意軟件感染的盜版開(kāi)發(fā)工具Xcode,由此開(kāi)發(fā)的app也同樣受到感染。”
蘋(píng)果還表示,為了保障安全,蘋(píng)果使用了如Gatekeeper等技術(shù),以防止安裝從非App Store渠道下載的應用程序,或安裝包括Xcode在內的未簽名的應用程序。但開(kāi)發(fā)者為了能安裝使用盜版Xcode,會(huì )刻意禁用這些保護措施。
此外,為了確保軟件未被篡改,蘋(píng)果稱(chēng),開(kāi)發(fā)者從Mac App Store下載Xcode后,開(kāi)發(fā)者的的電腦系統會(huì )對Xcode代碼簽名自動(dòng)進(jìn)行檢查和驗證;從Apple Developer Program網(wǎng)站下載時(shí),只要Gatekeeper沒(méi)有被禁用,也會(huì )默認進(jìn)行檢查和驗證。
與此同時(shí),蘋(píng)果表示,“目前沒(méi)有任何信息表明這些惡意軟件與任何惡意事件相關(guān),也沒(méi)有信息表明這些軟件被使用在傳播任何個(gè)人身份信息的用途上。”
也就是說(shuō),目前蘋(píng)果用戶(hù)的個(gè)人信息并未受到影響,而iCloud和其他服務(wù)密碼亦無(wú)法通過(guò)代碼獲取。惡意代碼只能提供一些基本信息,比如App和一般系統信息。
對于有可能通過(guò)惡意代碼開(kāi)發(fā)的App,蘋(píng)果表態(tài)會(huì )對其下架處理,并攔截了通過(guò)該惡意軟件開(kāi)發(fā)的新App進(jìn)入App Store。
