安全防线究竟出了什么问题 追溯苹果Xcode幽灵入侵根源 (安全防线的意义)
近期XcodeGhost事件沸沸扬扬,大家都很关注此事的影响、后果和解决方案,可是这件事情的根源究竟是什么? 还有没有未被发现的其他类似安全隐患?未来如何防止同类攻击的发生?本文作者是启明星辰VP,资深安全人士,他试图从应用开发者角度来剖析这一切。
上述两个事件与XcodeGhost的相似之处在于,攻击者都是利用了开发/设计/监控环境的安全漏洞,最终达成了对生产/消费环境的渗透。
入侵者利用哪些点进行攻击?
我们知道,随着厂商和用户安全意识的提高,生产环境大量使用物理/逻辑隔离手段,而消费环境则可能使用严格的审核机制甚至完全封闭的生态环境, 这使得直接攻击生产/消费环境的难度大幅度上升,而厂商和消费者往往也会产生自满情绪,认为已经一劳永逸的解决了信息安全威胁。
但是攻击者并不会按照防御者规定的方式作战,他们总是能找到最容易突破的位置,采用一些事先无法想到的手段,突破禁制,达成目的。
不幸的是,在此次事件中,开发环境恰好是那个最容易被突破的环节。
一家应用软件公司要想发布应用程序,必须要搭建开发环境,包括代码编辑器、编译器、调试器、模拟器、第三方库、其他资源等等,如下图所示:
程序员在自己的工作电脑上写出代码、通过编译上传到公司的服务器,进行数字签名后,发布到应用市场(如APP Store或者Google Play等),在整个过程中,存在着多个可能被入侵者利用的点:
那么,为什么会出现以上的漏洞呢?
世界应该是完美的才对啊?抱歉,真实世界并非是完美无缺的。
1、移动应用开发成本大,安全标准让路。
随着移动互联网的进一步升温,大量公司涌入移动应用开发,各家应用供应商的竞争也非常激烈。应用软件的开发工期和按时发布的压力很大,在这种情况下,对安全的考量往往要为软件功能和发布时间让路。在良好的开发流程中,对软件开发环境、测试及代码审核、应用软件的发布和管理都有较为严格的规定,但是严格的管理流程会带来额外的成本开销,在发布压力较大的情况下,往往会在安全标准上做出让步。
2、人才培养的缺失,危机暗伏
同时,由于移动互联网行业发展速度太快,人才培养远远跟不上行业需求,部分缺少良好安全训练的软件工程师直接上岗,他们编写的代码存在大量的安全问题。部分问题可以通过测试修复bug解决,但是很多的漏洞隐藏在已经发布的软件中。
例如现在的健康应用中,大多数都没有认证校验措施,未来这些数据如果用于医疗急救,一旦被篡改就可能造成严重的后果。
由于移动互联网是新兴行业,在过去的几年中尚未成为黑色产业重点关注的区域,因此应用公司和开发人员也产生了移动互联网安全问题不严重的心理 误区,加上对封闭生态环境(如苹果的应用商店)的迷信,一味依赖手机厂商提供的安全措施,造成了一旦厂商的安全措施被从其他方向绕过,就被势如破竹地打穿所有防线的后果。
实际上,上一个十年的经验告诉我们,任何一种独立的安全措施都不能简单地防范所有的安全威胁,必须是完整构建的安全体系才有能力和各种高级威胁进行对抗。这一点,微软想必已经深有体会,但是苹果和谷歌及其大量的应用供应商,还需要至少几年的时间去慢慢学习。
除了本次暴露的XcodeGhost,还有没有类似的其它安全隐患?
如前文所说,通过开发环境进行攻击并非首创,而安卓的开发环境比苹果更加复杂和开放 ,根据0xid西雅图小组的跟踪分析,在安卓的开发环境中同样存在各种信息安全问题,有些甚至更加严重。
本次事件中,除了Xcode之外,Unity和 Cocos2dx这两个游戏开发平台,也受到了不同程度的污染,这就进一步影响到了安卓和Windows。
那么,未来如何防止同类攻击的发生呢?
人的懒惰和侥幸心理是天性,因此,必须要采用严格的管理和规范来对抗它们,在国际标准ISO27001和SSE CMM中,均有对应用软件开发环境和第三方组件使用的安全性要求,应用开发商应该要做到:
1、应该有严格的开发环境隔离措施。开发、测试和运行环境严格分开,经过授权的人才能访问各个不同环境,并在其中进行完整性和一致性检查。严控开发环境与互联网的交互接口,采用合适的安全防御措施保护开发测试和运行环境。2、对开发环境使用的软件进行控制,确保均来自可信的来源。开发环境应使用正版软件,并设置软件白名单,禁止安装白名单以外的应用。3、向开发人员提供足够的安全培训。开发人员应该经过安全意识、安全技能、安全规章制度的培训,从而有意识、有能力、有意愿写出更加安全和健壮的代码。
4、加强对代码的审核和对应用的安全测试,确保其中没有恶意的逻辑。通过在测试中增加安全性测试,以及对关键代码进行评审,必要时委托第三方专业公司进行安全检查,从而发现代码中的疏忽或者是恶意的后门。
5、严格管理软件发布的流程,并随时监控在互联网上流转的应用,及时发现问题并及时处理。软件发布应由专人管理,并进行审计记录,保管好发布账号和签名证书,实时监控互联网上流转的应用镜像,有可能的情况下通过软件自动进行校验,一旦发现问题及时的处置和报警,将损害降到最低。
原创文章,未经授权禁止转载。详情见 转载须知 。
亦庄生活网是北京亦庄地区影响力较大的综合门户网站
上海起帆电缆总部位于上海市金山区张堰镇,注册资金4.058亿元,起帆三大生产基地分别为:上海起帆、安徽池州起帆、湖北宜昌起帆共占地一千两百多亩,年生产能力超100亿元。起帆电缆上交所主板上市。起帆总部投资4.5亿,在安徽池州起帆电缆成立安徽生产基地!年生产能力近50亿。2020年,在湖北宜昌起帆电缆建立厂区,主要生产中高压电缆、特高压电缆、海底电缆。电话:400-021-2056
省心返批量转账系统|批量返款系统工具软件,适用于淘客返佣,补单试用返款,评价返现,徽商返款返佣,批量转账发工资,批量返款返佣等有批量转账返款需求的人群,支持多员工子账号同时操作。
洛阳市福悦实业有限公司(原洛阳市龙涛药业有限公司),位于偃师市工业园区,铁路、公路交通便利;厂区环境优美,大气含尘量低,为药品生产提供良好的自然环境。
东风精密铸造有限公司是中国铸造协会副理事长单位,中国铸造协会精密铸造分会会长单位,中国铸造行业综合百强企业,中国精铸标杆企业,湖北省高新技术企业,湖北省级企业技术中心,湖北省创新型企业建设试点单位的公司,86-719-5667415,86-719-5660101
青州市新世纪种苗有限公司是专业从事白菜类蔬菜良种研发的科技创新型企业,以培育白菜良种,改善生活品质为己任,经过近三十年的不懈努力,已培育出适宜全国各地栽培的不同类型白菜优良品种上百个.
康喜科技是一家集研发、生产、销售于一体的现代化高科技企业。特别是旗下高电位治疗仪系列,以其功能齐全、性能稳定、功效显著、设计新颖、使用方便等优点在同类产品中居于领先地位,并受到广大客户的高度赞扬和一致好评。
商业地产大讲堂――专注于商业地产培训,致力于为商业地产开发企业提供商业地产领域最前沿的培训课程,课程涉及商业地产选址、项目定位、规划设计、招商定位及策略、推广销售租赁、运营管理、项目资本运作等,提供全方位的优势培训服务,全面提升商业地产整体行业水平。
网龙多学专注为企业提供国内领先的在线培训学习综合解决方案,已为近百万企业员工提供优质的e-learning、在线学习平台、在线培训平台、考试系统、培训管理系统、岗位培训课程、微课培训、运营服务,帮助企业建立高效化培训体系,提高培训管理效率。
安徽省兴泰融资担保集团有限公司
本溪普天防雷检测有限公司山东分公司是一家从事防雷检测,工程检测,材料检测,建筑消防检测的公司,公司经山东省质量监督局批准授权的“CMA计量认证”和山东省气象局颁发的“雷电防护装置乙级资质证”具有向社会出具作用的数据和结果的第三方检测机构。欢迎您的来电咨询!
家里面如果有6岁的儿童,也进入了该学习各种知识的阶段,无论是算术还是拼音等,大家都可通过满足需求的游戏进行体验,那么有趣的6岁儿童游戏都有哪几个呢,接下来介绍几款非常受欢迎的,你可在充满着卡通人物的游戏中,享受所带来的快乐,也给大家特意找了两款非常益智的,如果喜欢看日本动画片的你,一定对蜡笔小新这个角色是比较熟悉的,不仅在80年代90...。
大家知道目前国产车模拟驾驶游戏大全都有哪些吗,现在喜欢开车的人还是比较多的,他们主要是比较享受开车的过程以及真实的驾驶体验感,当然在现实生活中想要漂移的机会实在太少了,所以不少人都会在游戏里面找到那种随风而行的感觉,今天小编也整合了目前几款比较好玩的模拟驾驶类游戏,希望大家会喜欢,1、,QQ飞车,这里可以为你带来逼真的驾驶体验,让你在...。
发表在极米投影仪2023,5,2515,02当贝F6是最新上市的4K投影仪,搭载全新海思V811处理芯片,拥有独一档的8K解码能力,那么在画质方面的表现呢,下面就通过当贝F6和同价位的极米H6进行对比,看看极米H6和当贝F6画质实测对比结果如何,看看哪款4K投影画质更出色,极米H6和当贝F6画质对比,在光源方面,极米H6和当贝F6虽然...。
发表在专业问答2024,11,312,00展示机型信息,品牌型号,当贝F7Pro系统版本,当贝OS5.0当贝F7Pro画面倒过来可以通过改变图像设置中的投影方式来调整,总共可以分为三步,下面为当贝F7Pro画面怎么倒过来的详细步骤做具体说明,当贝F7Pro画面怎么倒过来1.打开投影设置在当贝F7Pro的主界面点击设置图标打开投影设置界...。
用电脑下载当贝市场安装包安装包下载并拷贝到U盘中,2、将U盘插入当贝投影的USB接口,识别U盘后,打开U盘3、选择,当贝市场,安装包,进行安装即可当贝市场安装好之后,就可以随意在里面安装你需要的第三方点播、游戏、工具等应用,例如,哈趣影视、当贝酷狗音乐、当贝投屏等如在安装过程中,有任何疑问的,或更多投影安装软件教程,请参考智能电视网,...。
申明,1.以上内容仅代表揭发者自己,不代表黑猫揭发立场,2.未经授权,本平台案例制止任何转载,违者将被清查法律责任,3.黑猫揭发处置揭发不收取任何费用,凡以黑猫揭发名义不要钱的均为混充、诈骗行为,请及时报警并与黑猫官网反应,揭发邮箱heimaotousu@vip.sina.com,4.请大家选用官网渠道处置生产纠纷,不要轻信第三方机构...。
7月10日,外交部发言人林剑掌管例行记者会,有记者就目前正在启动的中国和白俄罗斯的联结军演的地点是在北约成员国波兰左近,有评论称这是对北约的寻衅执行,中方对此有何评论,林剑指出,这次中国与白俄罗斯的陆军联训是依据两国的年度协作方案实施的,是中白之间的反常的军事交换协作,合乎国际法和国际惯例,不针对任何特定国度,总台央视记者张雪松申杨...。
联想笔记本总是突然没声音,多半是声卡驱动出了问题,这款联想笔记本声卡驱动就是你需要的,该软件为安装板,如遇到声卡驱动出问题,直接安装即可解决问题使用方法1.下载联想LenovoV470笔记本系列声卡驱动2.双击安装,等待进度条读取完毕。3.重启电脑。注意事项该驱动为联想LenovoV470笔记本系列声卡驱动,RealtekHDAudio声卡驱动6.0.1.6225,支持64位win7和win8操作系统,请
flac格式转换wav用什么软件2,音频转换器是什么怎么用3,怎么把flac转换wav生成cue4,mp3转换器怎么用5,ogg格式文件用什么软件才能打开6,aac是什么1,flac格式转换wav用什么软件其实想要把flac格式转为wav格式是很简单的,如今科技这么发达,使用专业的视频格式转换器来转换就好了,可以借助迅捷音频转换器。1、首先去百度下载迅捷音频转换器并安装,2、安装完成后,点击添加文件或者添加文件夹,打开音频文件,3、点击下方的自定义和文件夹,设置保存地址为桌面或者其他盘,4、点击输出格
今天完美小编为大家带来一款魔性趣味休闲手游——《无情的哈哈机器》,哈哈怪是一种混迹于弹幕网站的混沌生物,哈哈怪不同于键盘侠,他们更喜欢集体行动,但他们的思考回路几乎不可捉摸。无...
海通证券网上交易系统通达信,海通证券网上交易系统通达信也就是原彩虹投资软件,集行情、交易、资讯为一体,支持闪电下单、对买对卖等特色交易功能,提供多界面自由切换、多种登陆模式,将为您带来全新的操作体验,您可以免费下载。
PPSiPad版我们其实应该称其为爱奇艺PPSiPad版,这是百度旗下的视频网站爱奇艺的子网站。爱奇艺PPSiPad版拥有有爱奇艺的高清薯片资源和PPS的视频传输、压缩技术,为用户道来高清视频体验;您可以免费下载。
游戏2023前十名最新排名有哪些是受到广大玩家的喜爱呢,最新出炉的热门榜单上有着很多陌生的游戏,但是这些游戏都是得到很多玩家的认可和支持,游戏的类型当然也是相当丰富的,下面就让小编给大家说说最新热门榜排名前十的游戏吧,1、,我的门派,我的门派这款游戏有着大家都幻想过的修仙题材,玩家在游戏中不管是自己修炼还是养成宠物进行修行都应有尽有,...。
喜羊羊是小朋友较为喜欢的动画角色,通常喜羊羊都是跟灰太狼一起出现的,不少手机游戏里也有可爱的喜羊羊哦,那么受欢迎的喜羊羊游戏大全情况怎么样?下文这些跟喜羊羊有关的游戏乐趣无穷,可爱的喜羊羊形象也让玩家们眼前一亮,你也进入游戏跟可爱的喜羊羊一起玩耍吧,1、,羊羊荣耀5,羊羊荣耀5是款全新上线的喜羊羊题材角色扮演冒险游戏,像素风格的画风和...。
我想,通过一年时间的积淀,博客应该可以做广告了吧,目前各种联盟广告不是我的博客投放对象,利用自己的关系,去找人拉一些广告应该不是很困难的事情,另外,用我得再次好好研究研究googleAD还能不能给我创造价值!来源,卢松松博客QQ,微信,13340454本文地址,https,lusongsong.com,blog,post,20.h...。
8月23日,首届中国国际智能产业博览会,简称智博会,在重庆正式开幕,在本次大会上,国内互联网的半壁江山例如阿里巴巴、腾讯、百度、科大讯飞等企业悉数出席,当然,如果只是来做做演讲、聊聊论坛,那么首届智博会也过于,普通,为了拒绝,单调,的演讲报告,本次智博会还推出了火药味十足的十大,黑科技,创新产品征集与发布活动,而在经过激烈的评选之后...。
2020年12月9日,据,韩国经济日报,报道,韩国现代集团将以9.21亿美元收购网红机器人公司波士顿动力,韩国经济日报,表示,据投行有关人士透露,10月8日现代汽车与软银集团就波士顿动力的收购进行了协商,最终敲定了交易价格等具体条款,很快将正式公布接盘计划,雷锋网了解到,现代汽车集团旗下公司,如现代汽车、现代摩比斯等,将采取分批收购...。
