科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道移动安全由iOS Xcode引发的软件开发工具的安全隐忧

由iOS Xcode引发的软件开发工具的安全隐忧

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

这两天被由Xcode引发的关于iOS安全的讨论刷屏,其实这件事的原委说起来很简单,Xcode作为iOS APP的开发编译工具,被别有用心的人植入了恶意代码。这里,我们不禁要问,有官方途径,为什么还有那么多开发者选择在网盘或者论坛下载开发工具呢?

来源:ZD至顶网安全频道【原创】 2015年9月19日

关键字: Xcode iOS XcodeGhost APP 开发工具

  • 评论
  • 分享微博
  • 分享邮件

ZD至顶网安全频道 09月19日 评论: 这两天被由Xcode引发的关于iOS安全的讨论刷屏,其实这件事的原委说起来很简单,Xcode作为iOS APP的开发编译工具,被别有用心的人植入了恶意代码,通过修改Xcode编译参数,将这个恶意模块自动的部署到经过篡改的Xcode编译的苹果APP(iOS/Mac)中。

因为众多开发者并没有从官方渠道下载Xcode,结果导致这个被篡改的Xcode被应用到APP的开发中,其中不乏一些大厂,所以即使在APP Store下载的APP也受到了影响,也就引发了众多担忧。

担忧是必要的,但还不至于引起恐慌。本文并不是以讹传讹,也不会危言耸听,以目前的公开信息来看,个人用户并不用担心隐私数据被泄露。多家安全机构分析显示,受感染的APP上报的信息仅包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息。

说句不好听的话,我们手机里的每一个APP收集的信息远比这些所谓的植入的恶意代码收集的信息要多。

今日,有疑似“XcodeGhost”作者在微博回应称,XcodeGhost只是源于其自己的实验,没有任何威胁行为,并公布源代码。他也强调,XcodeGhost不会影响任何App的使用,更不会获取隐私数据。

@XcodeGhost-Author 关于所谓“XcodeGhost”的澄清:

由iOS Xcode引发的软件开发工具的安全隐忧

当然,一个不能被验明正身的所谓澄清声明也不足以为信,最终结论还有待相关组织和机构的调查。

既然有多家安全厂商的分析报告和部分受影响APP的声明,有这些佐证,我们也暂且相信这次由开发工具引发APP的中毒事件并没有引起多大波澜。

不过,我们还是要问,既然有官方途径获取Xcode这个开发工具,为什么还有那么多开发者选择在网盘或者论坛下载开发工具呢?现在很多个人网友下载个软件什么的,都选择去官网,而不会随便找个地址就安装了。

有人把矛头指向那个“墙”,但经测试,在APP Store下载Xcode确实顺利得很。

所以,在微博和一些社区平台,针对开发者如此不严谨的获取Xcode并基于此开发APP,很多同行也表示不齿:“纵使有客观原因,他们连MD5和SHA1值都不校验吗?”

也许,XcodeGhost的作者当时只是想骗过一些小开发者,但没想到搂草打兔子,来了这么多大兔子,估计当时连他也被惊呆了,所以也没敢继续进行更大的恶意行为,这可关系到下半辈子啊!呵呵,当然这只是猜想了。

这里,我们还是要呼吁,企业要审视自己的开发流程,做到为用户负责!

当然,安全风险无孔不入,安全业界要联起手来,共建有序的安全环境!

不过,这里还要多说一句,iOS平台尚且如此,Android平台又会是怎样的呢?听说,Android的开发工具有些是完全被墙了呢!


 

 
 
 
 
 
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章