这几天,苹果的安全门事件可谓是沸沸扬扬,受关注度可谓是空前但不绝后。而之所以受到空前关注,其主要原因是曾经在我们脑海中的一个安全“神话”被打破了。一直以来,大家心里总认为安卓系统是裸奔,苹果系统则相对比较安全,只要用户不要随意越狱,基本上是可以忽略对安全问题的担忧。结果这一神话却被XCodeGhost这一木马给打破了。这不仅激起了业内的大讨论,更吸引了大家的共同关注,毕竟苹果的用户量还是非常庞大的。
实际上,在9月14日,国家互联网应急中心就已经发布了“关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报”;之后于9月17日,乌云网和硅谷安全公司PaloAlto发布安全预警并提醒开发者小心,并指出XCodeGhost虽然没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次;直到9月18日,由“XCodeGhost”事件所引发的苹果安全门事件被证实,并且由相关的安全平台对苹果的APP进行了各种监测、统计,几乎可以用“全军覆没”来形容,覆盖了我们常用的大部分APP,如微信、滴滴、高德、同花顺、天涯、中信银行、喜马拉雅、南方航空等。
苹果APP一旦被感染了病毒之后,其后果远超出我们想象。黑客几乎可以通过远程的方式完成所有事情:打电话、发短信、打开第三方APP进行操作,甚至要想获取用户手机中的信息,或由一些个人特殊爱好的照片,那都是轻而易举的事情。那么这次苹果的安全门事件到底是怎么发生的?(详见钛媒体此前报道《苹果APP中毒事件究竟是怎么回事?为何骗过了App Store?》)
苹果安全门到底是怎么发生的?
我们都知道苹果AppStore里的各种应用都是由苹果审核发布的,并且需要采用苹果自家所提供的Xcode代码进行开发,正是基于这两方面的原因促使了苹果系统相对于安卓的安全性能要高很多。而此时能够对苹果APP造成冲击的机会只有两方面:一是直接攻击苹果的IOS操作系统,而这样做显然并不明智,这就意味着告诉苹果公司我在攻击你,并促使苹果公司做出保护措施;二是借助于APP的开发代码,在开发代码中植入相应的病毒,当开发者使用了这个代码进行开发时,其后果当然就是等着中枪。按理说这种方式也很难成功,因为苹果所发布的源代码是在自己的服务器上,黑客们在这个环节的下手也很容易会被苹果公司发现。
在这种高规格的封闭保护体系下,苹果门又是如何被制造出来的呢?那就是我们所赖以开发的源代码被篡改过。也就是说目前国内大部分的苹果APP开发者所开发的Xcode源代码并不是源代码,而是被动了手脚的“原”代码。这个问题与我们国情下的网络监管有一定的关系,我们在国内的“局域网”范围内访问相关的网站,速度相对可行,但要访问“局域网”外的一些网站,通常是不可行的,即使有个别可行,那么其访问速度也是相对比较“龟速”。当然,翻墙的除外。
这也就意味着国内的开发者要想直接通过访问苹果公司的网站来获取Xcode,这就变成了一件相对困难的事情,因为Xcode是一个具有几GB的大容量源代码,要想下载下来并非易事。于是就有人看到了这个“痛点”,就在Xcode的基础上做了点小动作,也就是我们今天所看到的XcodeGhost木马。之后将这个带有XcodeGhost木马的Xcode通过各种渠道发布到了国内的各种平台上供开发者下载。
苹果APP的开发者通常是项目制的,不论是外包或是自行开发。接到了相应的开发项目之后,开发者为了快速完成任务,必然会找比较快捷的途径选择Xcode的源代码,往往忽略了对这个源代码的可靠性进行核实。与其说忽略了核实,倒不如理解为对于国内的开发者来说根本难以核实,因为我们连真的都还没见到过,何谈问题的辨识。那么, 当我们基于这种非源代码所开发的APP应用,在开发完成的时候就已经成为“病毒”携带者。
这到底是谁的问题?
面对这次事件的发生,显然我们需要透过这次事件来思考到底是哪些环节出了问题,或者说到底是谁的责任导致了这样一次安全门事件的发生,在我看来苹果公司是问题的核心。
按理说,如果苹果公司能够也应该在对应用审核时多留个“心眼”,特别是对于来自于中国的应用。当然我将这句话并不是诋毁我们这个民族,而是我们这个民族中总有一些人喜欢给自己人挖坑,喜欢给自己人抹黑,就如地沟油、三聚氰胺一样。遗憾的是苹果公司太“善良”,忽略了我们对其源代码进行改造的能力,在最终APP进入AppStore的环节中缺失了对木马病毒做更深入的检查,于是就导致了今天苹果安全门事件的发生。
其次,苹果公司没有根据不同国家的国情来因地制宜完善他们的管理体系,苹果公司非常清楚我们的国情以及我们的监管体系,因为AppStore在中国本身就是一种本土化的AppStore,与境外的AppStore是有区别的,在国内注册的AppStore到了国外之后有很多应用程序是被禁止下载的。面对这种现实状况,苹果公司应该针对中国市场进行“本土化”,至少说面对这个源程序,要么与有关部门协商,减少限制;要么就在中国架设服务器来提供相应的服务。
但从这次事件来看,显然从苹果公司的层面来看,尽管库克一直以来表现出对中国市场的重视,但其重视程度或许更多的只是体现在销售上,而不是真正的市场层面,缺乏针对中国市场进行的相应投入。当然,从监管的层面来看,有关部门也有责任,如果不是“过度”的局域网情况,或许也就不会给木马开发者留下机会。而对于木马的开发者而言,这种行为显然是种错误。
凸显物联网时代的心病
苹果这次的安全门事件凸显的并不是苹果本身的问题,而是即将到来的整个物联网时代的问题。根据阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)发布的《2015年第二季度互联网发展状况安全报告》来看,在过去三个季度内,DDoS攻击量同比增长了一倍。2015年第二季度,尽管攻击者倾向于发起不太强烈但持续时间较长的攻击,但危险的大规模攻击数量持续上升;12起攻击的峰值流量超过了100 Gbps,5起攻击的包转发率峰值超过了50 Mpps。只有极少数的企业能够以一己之力承受住这样的攻击。
随着物联网时代的到来,当包括人在内的万物都智能化、数据化、云端化之后,当产品的价值由过去基于前端硬件本身的利益获取转向后端的数据挖掘进行实现时,必然将激发黑客市场。在智能硬件时代之前,我们的产品只是基于产品本身的硬件来思考其是否会发生质量安全问题;但在智能硬件时代,产品硬件本身并不承载价值的核心,而只是价值的一个载体,大部分的价值将借助于软件应用来实现、来挖掘。
这种价值被转移之后,必然就会促使更多人关注软层面的价值获取。哪里有价值哪里就会有关注,这是商业社会中人在利益驱使下的一种本能。如何保障数据、信息安全,则是大数据时代的一大挑战。而苹果这次的事件可以说只是这个时代的一个缩影事件。
通过这次事件至少给了我们几点启示:一是对于系统、平台服务商来说,没有完美到无懈可击的“安全”系统,只有一个阶段的“安全”系统,要想维持系统的持续安全性,就必须不断地在技术层面加强安全提升;二是各国政府需要在物联网时代加强合作,尽快出台相关的监管法律法规,借助于法律法规来约束、降低“安全”风险;三是对各智能硬件领域厂家而言,我们今天都在借助于软件层面,也就是各种APP的应用来实现智能化,来挖掘硬件产品本身的潜在价值,那么如何从自身的软件、硬件层面来给安全增加一道防线,这将是2016年产品开发者的重点方向。
受伤最大的是安卓
尽管这次事件看起来是苹果中招了,但冷静地想想,受伤最大的并不是苹果,而是安卓。或许很多人在窃喜“果粉”们终于中招了,岂不知除果粉之外的各种“粉”的危机更大。我们都知道苹果是一个相对比较封闭的系统,其上面所发布的应用采用的是相对严格的审核制,这种相对严格、封闭的体系在今天都会出现问题,那么这个开放的安卓系统,其背后潜伏着的危机将会有多恐怖。
随着智能手机使用率的上升,病毒的趋势也从PC转向了手机。据猎豹移动安全实验室发布的《2014-2015中国互联网安全研究报告》显示,2014年全球感染病毒的安卓手机计2.8亿部,平均每天80万部安卓手机中毒,中国以近1.2亿部手机中毒高居榜首,中国已成为全球受安卓病毒之害最严重的国家。
这组数据还只是2014年一个机构的监测数据,如果把各自监测数据都综合起来,其后果恐怕就是今天的安卓系统集体中枪。不论各基于安卓系统的手机品牌承认与否,用户的数据信息基本难以获得有效保护,各种恶意软件与应用更是防不胜防。不过这也激发了另外一个市场,也就是基于移动终端智能产品的安全软件,这个市场的需求将会随着物联网时代的爆发而共同爆发。
智能时代的消费者权益谁来保护
回顾历史,互联网领域的安全事件时有发生,但对于给用户造成的损失似乎从来就没有一个说法。这其中反映出了一个市场监管滞后的问题,也就是说我们在互联网+时代的消费者权利保障体系严重缺位。基于互联网+为载体的产品,其本质也是一种产品,只是与过去的硬产品不同,其借助于互联网这一信息化手段“软”化了。
在过去硬产品时代,对于各种产品的质量,我们有相对健全的保障体系,尤其是对于消费者的权益保障。但是面对互联网+大行其道的今天,各种基于互联网改造的软产品不断丰富,我们的生活与消费也从过去依赖于硬产品为主的方式转向于今天依赖于软产品为核心,那么当这些产品在使用过程中出现了相关的“质量”问题,或者是安全问题,是否应该给消费者一个说法,是否应该给予消费者一种正常的“权利”。
过去基于硬产品的生活、消费模式如果出现了产品质量问题,无非是围绕产品造成了一些不便。但今天围绕着软应用产品出现了质量问题、信息安全问题,其对用户所造成的损失与困扰将是更加严重和深远,甚至牵涉到公民隐私权的问题。因此,我倡议有关部门应该尽快出台基于互联网+的相关监管法规,尤其是牵涉到公民权利部分:一方面是为了维护公民的权利;另外一方面则是约束相关的企业加强责任意识,在获取商业利益的同时必须承担起保护用户隐私、安全的责任。
苹果的事件不会是终点,我们在使用相关软产品时,一旦这些产品出现了问题,相关企业是否应该承担相应的责任,是否应该给用户一个说法。总不能一直这样“沉默”下去,把用户的隐私信息不当回事,这显然是不合适的。我认为不仅要对信息的保护与泄露要有说法,同时有关部门还要形成对信息泄露的责任追溯,这才能有效的降低用户使用软件产品的风险,以及降低由此所带来的伤害。(本文首发钛媒体)
【钛媒体作者介绍:陈根(陈述根本)】