由iOS Xcode引发的软件开发工具的安全隐忧

ZD至顶网安全频道 09月19日 评论： 这两天被由Xcode引发的关于iOS安全的讨论刷屏，其实这件事的原委说起来很简单，Xcode作为iOS APP的开发编译工具，被别有用心的人植入了恶意代码，通过修改Xcode编译参数，将这个恶意模块自动的部署到经过篡改的Xcode编译的苹果APP（iOS/Mac）中。

因为众多开发者并没有从官方渠道下载Xcode，结果导致这个被篡改的Xcode被应用到APP的开发中，其中不乏一些大厂，所以即使在APP Store下载的APP也受到了影响，也就引发了众多担忧。

担忧是必要的，但还不至于引起恐慌。本文并不是以讹传讹，也不会危言耸听，以目前的公开信息来看，个人用户并不用担心隐私数据被泄露。多家安全机构分析显示，受感染的APP上报的信息仅包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息。

说句不好听的话，我们手机里的每一个APP收集的信息远比这些所谓的植入的恶意代码收集的信息要多。

今日，有疑似“XcodeGhost”作者在微博回应称，XcodeGhost只是源于其自己的实验，没有任何威胁行为，并公布源代码。他也强调，XcodeGhost不会影响任何App的使用，更不会获取隐私数据。

@XcodeGhost-Author 关于所谓“XcodeGhost”的澄清：

当然，一个不能被验明正身的所谓澄清声明也不足以为信，最终结论还有待相关组织和机构的调查。

既然有多家安全厂商的分析报告和部分受影响APP的声明，有这些佐证，我们也暂且相信这次由开发工具引发APP的中毒事件并没有引起多大波澜。

不过，我们还是要问，既然有官方途径获取Xcode这个开发工具，为什么还有那么多开发者选择在网盘或者论坛下载开发工具呢？现在很多个人网友下载个软件什么的，都选择去官网，而不会随便找个地址就安装了。

有人把矛头指向那个“墙”，但经测试，在APP Store下载Xcode确实顺利得很。

所以，在微博和一些社区平台，针对开发者如此不严谨的获取Xcode并基于此开发APP，很多同行也表示不齿：“纵使有客观原因，他们连MD5和SHA1值都不校验吗？”

也许，XcodeGhost的作者当时只是想骗过一些小开发者，但没想到搂草打兔子，来了这么多大兔子，估计当时连他也被惊呆了，所以也没敢继续进行更大的恶意行为，这可关系到下半辈子啊！呵呵，当然这只是猜想了。

这里，我们还是要呼吁，企业要审视自己的开发流程，做到为用户负责！

当然，安全风险无孔不入，安全业界要联起手来，共建有序的安全环境！

不过，这里还要多说一句，iOS平台尚且如此，Android平台又会是怎样的呢？听说，Android的开发工具有些是完全被墙了呢！