安全防线究竟出了什么问题 追溯苹果Xcode幽灵入侵根源 (安全防线的意义)
近期XCodeGhost事件沸沸扬扬,大家都很关注此事的影响、后果和解决方案,可是这件事情的根源究竟是什么? 还有没有未被发现的其他类似安全隐患?未来如何防止同类攻击的发生?本文作者是启明星辰VP,资深安全人士,他试图从应用开发者角度来剖析这一切。
上述两个事件与XcodeGhost的相似之处在于,攻击者都是利用了开发/设计/监控环境的安全漏洞,最终达成了对生产/消费环境的渗透。
入侵者利用哪些点进行攻击?
我们知道,随着厂商和用户安全意识的提高,生产环境大量使用物理/逻辑隔离手段,而消费环境则可能使用严格的审核机制甚至完全封闭的生态环境, 这使得直接攻击生产/消费环境的难度大幅度上升,而厂商和消费者往往也会产生自满情绪,认为已经一劳永逸的解决了信息安全威胁。
但是攻击者并不会按照防御者规定的方式作战,他们总是能找到最容易突破的位置,采用一些事先无法想到的手段,突破禁制,达成目的。
不幸的是,在此次事件中,开发环境恰好是那个最容易被突破的环节。
一家应用软件公司要想发布应用程序,必须要搭建开发环境,包括代码编辑器、编译器、调试器、模拟器、第三方库、其他资源等等,如下图所示:
程序员在自己的工作电脑上写出代码、通过编译上传到公司的服务器,进行数字签名后,发布到应用市场(如APP Store或者Google Play等),在整个过程中,存在着多个可能被入侵者利用的点:
那么,为什么会出现以上的漏洞呢?
世界应该是完美的才对啊?抱歉,真实世界并非是完美无缺的。
1、移动应用开发成本大,安全标准让路。
随着移动互联网的进一步升温,大量公司涌入移动应用开发,各家应用供应商的竞争也非常激烈。应用软件的开发工期和按时发布的压力很大,在这种情况下,对安全的考量往往要为软件功能和发布时间让路。在良好的开发流程中,对软件开发环境、测试及代码审核、应用软件的发布和管理都有较为严格的规定,但是严格的管理流程会带来额外的成本开销,在发布压力较大的情况下,往往会在安全标准上做出让步。
2、人才培养的缺失,危机暗伏
同时,由于移动互联网行业发展速度太快,人才培养远远跟不上行业需求,部分缺少良好安全训练的软件工程师直接上岗,他们编写的代码存在大量的安全问题。部分问题可以通过测试修复bug解决,但是很多的漏洞隐藏在已经发布的软件中。
例如现在的健康应用中,大多数都没有认证校验措施,未来这些数据如果用于医疗急救,一旦被篡改就可能造成严重的后果。
由于移动互联网是新兴行业,在过去的几年中尚未成为黑色产业重点关注的区域,因此应用公司和开发人员也产生了移动互联网安全问题不严重的心理 误区,加上对封闭生态环境(如苹果的应用商店)的迷信,一味依赖手机厂商提供的安全措施,造成了一旦厂商的安全措施被从其他方向绕过,就被势如破竹地打穿所有防线的后果。
实际上,上一个十年的经验告诉我们,任何一种独立的安全措施都不能简单地防范所有的安全威胁,必须是完整构建的安全体系才有能力和各种高级威胁进行对抗。这一点,微软想必已经深有体会,但是苹果和谷歌及其大量的应用供应商,还需要至少几年的时间去慢慢学习。
除了本次暴露的XcodeGhost,还有没有类似的其它安全隐患?
如前文所说,通过开发环境进行攻击并非首创,而安卓的开发环境比苹果更加复杂和开放 ,根据0xid西雅图小组的跟踪分析,在安卓的开发环境中同样存在各种信息安全问题,有些甚至更加严重。
本次事件中,除了Xcode之外,Unity和 Cocos2dx这两个游戏开发平台,也受到了不同程度的污染,这就进一步影响到了安卓和Windows。
那么,未来如何防止同类攻击的发生呢?
人的懒惰和侥幸心理是天性,因此,必须要采用严格的管理和规范来对抗它们,在国际标准ISO27001和SSE CMM中,均有对应用软件开发环境和第三方组件使用的安全性要求,应用开发商应该要做到:
1、应该有严格的开发环境隔离措施。开发、测试和运行环境严格分开,经过授权的人才能访问各个不同环境,并在其中进行完整性和一致性检查。严控开发环境与互联网的交互接口,采用合适的安全防御措施保护开发测试和运行环境。2、对开发环境使用的软件进行控制,确保均来自可信的来源。开发环境应使用正版软件,并设置软件白名单,禁止安装白名单以外的应用。3、向开发人员提供足够的安全培训。开发人员应该经过安全意识、安全技能、安全规章制度的培训,从而有意识、有能力、有意愿写出更加安全和健壮的代码。
4、加强对代码的审核和对应用的安全测试,确保其中没有恶意的逻辑。通过在测试中增加安全性测试,以及对关键代码进行评审,必要时委托第三方专业公司进行安全检查,从而发现代码中的疏忽或者是恶意的后门。
5、严格管理软件发布的流程,并随时监控在互联网上流转的应用,及时发现问题并及时处理。软件发布应由专人管理,并进行审计记录,保管好发布账号和签名证书,实时监控互联网上流转的应用镜像,有可能的情况下通过软件自动进行校验,一旦发现问题及时的处置和报警,将损害降到最低。
原创文章,未经授权禁止转载。详情见 转载须知 。
本文地址: https://www.gpxz.com/article/dd36df50b0ebce2674f9.html
中国外汇交易中心暨全国银行间同业拆借中心为各银行间市场提供交易所需信息、中小金融机构备案报价和银行结售汇备案的基本平台,相关外汇、汇率、本币、人民币、债券、货币交易等信息欢迎点击查阅。
豆果美食提供各种美食菜单和美食菜谱的做法,各种清晰美味菜式图片,丰富的家常食谱菜谱菜单大全可以让你轻轻松松做出美味可口的佳肴。
善用AI,专注AI技术分享的网站,可免费下载ai新手入门教程,AI绘画教程,智能AI写作课程,各种AI视频工具,AI软件经验分享。
海淀区企业管理咨询由北京星颂企业管理有限公司提供服务。
谷泽优品,谷泽,gooze,茶叶,云南土特产
我们是国内出色的传奇私服开服发布平台,专注为新开传奇私服和热血传奇sf玩家提供每日最新开机预告,是广大玩家认可的发布网。
绍兴市虹桥电线电缆有限公司是一家电线电缆生产厂家,提供高质量的工程电缆和家装电线.我们拥有丰富的经验,实力雄厚,产品质量可靠,价格实惠,可承接大量批发,欢迎来电合作:13252143191.
Sealos云操作系统,Kubernetes云内核,多Region统一管理,以应用为中心的企业级容器云,秒级创建高可用数据库,自动伸缩杜绝资源浪费,一键创建容器集群,端到端的应用安全保障,支持多种复杂应用场景快速上云,超10w+企业,近百万开发者在线使用。
简知科技,以科技赋能人与文化,国家级高新技术企业,致力于通过科技创新,推动个人成长及兴趣技能学习的发展,助力全民素养提升。
瑞世佳华是一家专业的仪器代理服务商,引进世界先进的测试测量技术,经营激光测振仪,多普勒激光测振仪,模态分析测试系统,示波记录仪,应变及振动监测分析系统,振动试验系统,振动传感器校准,信号调理等仪器设备,为客户提供完整的解决方案。
腾讯企鹅智酷团队用一组大数据揭示了国人买iPhone6s的,真相,调查样本8182人,,结果显示,1、六成用户不会买老款iPhone,格外喜新厌旧,大约有60%的用户明确表示,不会购买老款iPhone,2、女人们更加喜新厌旧,明确不买的女性高达60.9%,3、不出意外,女人更,败家,,超过4成女性明确表示会买iPhone6s,而男性...。
牛肉,一个大家都喜爱的美食,比猪肉富含更多的蛋白质,氨基酸,同时它比猪肉更接近人体需要,能提高机体抗病能力,等等,牛肉还有更多的好处,所以牛肉的销量是非常好的,商家肯定不会错过这么好的商机,所以中华的牛肉品牌还是很多的,下面就是他们的品牌名称,首先,张飞手撕牛肉,这是四川的一个品牌,已经有了很多年的历史,所以发展的很成熟,而且它的价格...。
导语,现在的年轻人都追求时尚潮流的东西,能够展现出自由和个性,美国的潮牌起源于街头文化设计上比较大胆,能够将个性自由的特点变现出来,美国的潮牌服装赢得很多年轻消费者的喜欢,今天本站整理了美国十大潮牌,一起来看看,美国十大潮牌一、StussyStussy是美国街头一个比较时尚潮流的服装品牌,专业从事时尚服饰和配饰等产品的品牌,将滑板和工...。
1.黄金价格随市场波动而变化,截至2023,国内知名金店如周大福、周生生等品牌的足金价格大约为每克478元人民币,2.黄金TD,上海黄金,价格在367.73元至373.00元每克之间波动,3.黄金投资方式多样,包括实物黄金、黄金T,D、纸黄金、现货黄金,伦敦金,、国际现货黄金、期货黄金、黄金预付款和民生金等,4.实物黄金交易涉及实际黄...。
据人民日报信息,中国共产党第二十届中央委员会第三次整体会议于7月15日至18日在北京召开,二十届三中全会重要议程有哪些,进一步片面深化革新的总指标是什么,二十大以来历次中央全会钻研了哪些内容,一同来看↓↓...。
湖南华容团洲垸决口封堵遭到社会宽泛关注,7月8日晚决口已成功合龙,关于此次决口封堵的详细状况,7月12日在应急治理部举办的例行资讯颁布会上,应急治理部关系担任人回答了红星资讯记者关于决口封堵关系细节的提问,▲应急治理部接济协和谐预案治理局局长范朝晖应急治理部接济协和谐预案治理局局长范朝晖引见,此次决口,宽度大,达226米;水位深,平均...。
普通人感觉鱼尾纹出如今脸上,就开局象征着自己曾经老了,但这也是有情理的,由于鱼尾纹是一种皱纹,而一个特意爱笑的人,眼角不免会产生鱼尾纹的,反上来也有情理,就是假设一团体眼角的鱼尾纹较多,说明他的性情十分好,十分爱笑,不是刻板激进的人,面相剖析鱼尾纹构成的要素鱼尾纹关于很多人来说,都是持着不青睐的态度的,遭到肌肤人造苍老和光老化作用的影...。
1、梦见他人送鞋的吉凶指数基础坚挺,毫无变化,如立盘石之上开展,达成目标,向上进取,致力妥协,容易成功贫贱,顺利开展,安泰健身短命,大吉昌,吉凶指数,88,仅供参考,2、梦见他人送鞋的宜忌,宜,宜擦玻璃,宜唱歌,宜调情,忌,忌批判不文化行为,忌回想老街坊,忌暗恋,3、梦见他人送鞋的预兆梦见穿不合脚穿的鞋,恋情方面将出现异常,情敌出...。
尼桑新蓝鸟价钱须要8.59,14.39万元,性能,1、车头设计的很好,整个车身的静止感极强,人造吸气能源输入很颠簸要是不看仪表的状况下很容易超速,真的太颠簸了,车速放慢后也没有产生车身颤抖的疑问;2、方向盘会随着车速越来越紧,所以那些说方向盘很重的我只能说你压根没了解这个车的性能,尾箱空间很大,假设这都觉得小,紧凑型轿车真的不适宜你;...。
7月1日8时许,西安在建的地铁8号环线由于突发涌水涌砂造成路面出现塌陷,外地紧急转移周边区域5栋楼的353户800余名大众,现场无人员伤亡,目前,无关部门正在对塌陷地域启动混凝土回填,同时退路面沉降监测,燃气部门已将抢先燃气管道封锁,供电部门对受影响线路启动紧急处理,自来水部门对停水区域启动紧急送水,意外要素正在进一步考查中,总台记...。
AutoHotkey是一款简易而功能强大的热键脚本语言。使用者可将键盘、鼠标甚至游戏摇杆的移动和点击动作记录下来。
学而思在线是一款优秀的在线课程学习软件,支持在线直播学习、一对一教学服务等众多功能,拥有丰富的课堂互动模式,适用于不同的教学场景,能够有效的提升学生课堂专注度、趣味性。完美下载为您准备了“学而思在线”,欢迎大家前来下载使用
互联网企业普遍节奏快、压力大,加班更是家常便饭,而这些在国内互联网巨头公司中表现的更加明显,长时间的高强度工作,他们的员工身体状况如何呢?日前,网上流出一份,2019年IT四大巨头员工身体状况排行榜,的报告,这份是对百度、阿里巴巴、腾讯、华为四大互联网巨头的员工进行调研,结果显示,员工身体状况不乐观,与长期加班、熬夜、没有时间健身等众...。
随着暑假的到来,儿童乐园迎来旅客高峰期,对于学生来说,暑假就可以在父母的陪伴下去游乐园玩耍,对于家长来说,暑假也可以带孩子出去玩,缓解上学的压力,在此环境下,很多智慧之选者纷纷想要智慧之选儿童乐园,那么儿童乐园要多少钱呢,下面小编为大家介绍一下开儿童乐园需要哪些资金,首先智慧之选者想要自己智慧之选儿童乐园还是加盟儿童乐园,对于自己开儿...。
消息称亚马逊将对企业和技术部门裁员1万人,规模创历史之最11月15日消息,据外媒报道,亚马逊计划在企业和技术部门裁员约1万人,预计最快在本周开始,知情人士们表示,裁员主要集中在亚马逊的设备部门包括语音助手Alexa,以及零售和人力资源的部门,他们补充称,裁员的规模还没有最终敲定,如果保持在1万人,将占公司总员工数的3%,裁员消息于当地...。
雷锋网在昨日的文章,详细解读7nm制程,看半导体巨头如何拼了老命为摩尔定律延寿,中指出台积电,TSMC,在7nm上选择了求稳路线,Digitimes报道21日台积电举办技术研讨会,CEO魏哲家表示7nm制程的芯片已经开始量产,并驳斥了台积电7nm良率提升缓慢的传言,同时他还透露台积电的5nm制程将会在2019年年底或2020年初投入量...。
日前MakerBot已经宣布,它将不再生产自己的硬件,在接下来的六个月内,公司将3D打印机和其他产品的生产工作交接给Jabil,后者是全球三大合同制造服务商之一,在中国拥有工厂,其结果是,该公司将关闭纽约布鲁克林区的工业城市综合体的制造业务,并进行裁员,而MakerBot总部和其他团队,包括设计、工程、物流和维修,将继续留在布鲁克林,...。
