苹果正式回应XcodeGhost木马事件 (苹果正式回应怎么设置)
北京时间9月21日上午, 苹果 首次对最近闹得沸沸扬扬的“XcodeGhost木马事件”做出正式回应。
苹果方面表示:“ Apple极其重视 安全 ;ios设计的出发点就是可靠性和安全性。我们为开发者提供业界最先进的工具创造绝佳的App。基于非信任渠道发布的这些工具中的一个错误版本开发的App有可能对用户安全造成威胁。为了保护用户,我们已经将由该错误 软件 开发的App从App Store撤下,并正与开发者共同努力确保使用正确版本的Xcode重建他们的App 。”
9月17日之后的那个周末,苹果在中国爆发了有史以来最大的安全危机。因为iOS应用开发者们的开发工具“中毒”,大量用户常用的知名应用被曝光感染木马。
根据目前公开的信息,这个名为XcodeGhost的木马能获取用户的各种基本信息,包括应用名、应用版本号、 系统 版本号、语言、国家名、开发者符号、App安装时间、设别名称和设备类型等。
看起来这些信息都非常“基础”,而且到目前为止,并没有爆出有用户因为这个 漏洞 蒙受损失。
但也许危机不止于此。
腾讯 安全应急响应中心9月19日发布了一篇文章全面分析了XcodeGhost病毒的作用和可能的危害。这篇文章指出,这个木马不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规 手机 行为,甚至还能远程弹窗骗取用户更多信息。
“ 这应当是App Store自2008年上线以来遭受的规模最大的攻击 ,涉及应用之广已经完全超过想象,若非发现及时,此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后, 可能成为中国历史甚至世界历史上涉案金额最高的 黑客 事件之一 。” 知乎 上一个名为yang leonier的用户评论。
谁该对此负责?主要责任肯定是那些使用非官方开发工具的应用开发者。
此次木马“杀伤面”如此之广,是因为大量开发者使用的“工具”Xcode出了问题。
开发iOS应用,有一款开发工具必不可少,就是苹果自家出的Xcode——它负责把源代码编译为可执行的应用,开发者才能把应用上传到苹果应用商店后台,经过苹果官方审核后,在应用商店App Store上架,正式开放下载。
按常理来说,开发者们都应该去苹果的官方地址下载Xcode。但现实情况是,出问题的应用开发者们都是使用的第三方渠道下载的Xcode编译软件。
其中一点理由是,第三方编译器比官方网站的功能更为丰富,这些功能都是民间编码高手自行开发出来的,开发者用这种第三方编译器更为方便。
“ 程序员 使用第三方编译器,就像一个人造汽车,他选择去外面购买轮胎,而不是自己造一个轮胎。”赛门铁克一名从事 网络 安全的软件工程师这样解释软件程序员使用第三方编译器,即一些标准化的工作交给工具来完成。
但是更多的 中国开发者使用Xcode是因为一个更为简单的理由,图下载方便 。
“这个工具有2G多,国内的网络由于一些原因,和苹果服务器连接非常困难,十多分钟就要断一次。”有开发者向界面新闻表示,所以从第三方渠道下载成为很多程序员图方便的选择。
“基本上我身边所有的开发者都不会使用官方的,而去一些论坛或者 百度 网盘之类的第三方网站下载这个编译器。”国内一家安全厂商的员工告诉界面新闻记者。
但这次XcodeGhost危机却实实在在给这些开发者们上了一课,即使官方版开发工具下载再怎么不方便,也不能不经校验就直接使用未知渠道的Xcode。
当然,苹果也应该做出改进。
第一批在 微博 上曝光XcodeGhost漏洞的iOS开发工程师唐巧认为,既然中国已经成为苹果最大的海外市场,苹果应当在中国多部署几个服务器,能够减少程序员在第三方下载编译器的几率。
另外,即使开发者层面出了问题,苹果的应用审查机制应该有能力,而且也有责任查出带有木马的应用。
“我们大部分同事都认为苹果对此事件负有责任,在上架审查的时候不够严格。”前述国内安全厂商人士认为,此次木马程序应该就是抓住了苹果审核比较薄弱的环节或者说他们审核的漏洞,也有可能苹果对于来自腾讯、 网易 这样大团队制作的应用审核更为松懈,因为有信用在。
但也有持有相反意见的,认为苹果并不需要为此次事件负责。
“实际上这件事情跟苹果没有太大的关系,审查有个度,需要在‘安全性’和‘可用性’之间做一些平衡。”赛门铁克一位员工向界面新闻表示,苹果安全审查相对来说较为严格,虽然出现了漏洞,但如果过于严格,应用上架审查流程过于复杂,可能会造成市场上应用缺乏的状况,也难以和竞争对手抗衡。
就在9月19日凌晨,在 新浪 微博上,一个名为“XcodeGhost-Author”的作者发布声明称,此次事件源于自己的实验,没有任何威胁性行为。同时,他还公布了源代码,证明自己是插件的作者。人们无法证实该作者就是此次事件的始作俑者,而且事件的危害也许并不能像这位作者掩饰的一样轻描淡写。
更重要的是,怎么预防下一次攻击?
一直以来,苹果系统爆发的安全事件较少,被认为十分安全,而此次恶意程序事件表明,“没有绝对安全的系统。”
赛门铁克工作人员表示,“也不能说此次攻击者就格外高明,安全事件的发生只是概率问题。”实际上针对苹果系统的攻击时时刻刻都在发生,而一段恶意代码能够成功植入,逃过第三方审查,也逃过了程序员审查,并最终逃过苹果官方审查,说明这个机制还是有不小漏洞。这或许值得所有人反思。
也许通过此次事件,我们该认识到的是,没有绝对安全的网络世界。而苹果也应该做更多的努力,重拾人们的信任。
来源: 松松科技 QQ/微信:lusongsong7
本文地址: https://www.gpxz.com/article/e80b94ef860491f6ff8b.html
自2025年12月起,“饿了么”品牌更名为“淘宝闪购”。公司2008年创立于上海,是中国领先的即时电商平台。截至目前,平台服务已覆盖全国2000余个城市,用户量超过4亿。
北京医院是一所以高干医疗保健为中心、老年医学研究为重点、向社会全面开放的融医疗、教学、科研、预防为一体的现代化大型综合性医院
道路客运产业互联网平台、四川省专精特新企业。业务覆盖汽车票、定制客运、网约车、包车、通勤车、租车、代驾、智慧车站/港口/园区及行业数智化、软硬件集成等。
河南星光机房系统技术有限公司在机房装修、计算机房工程施工,恒温恒湿实验室工程施工,高精度实验室装修,洁净净化工程施工、信息数据中心机房装修、IDC机房工程施工、监控机房等特殊环境场所提供综合设施工程服务方面居于领先地位。咨询电话:400-801-3619
安信小游戏网站分享游戏平台、网络游戏排行、手机游戏前十、电子游戏玩法等信息;提供网络游戏大全、安全的网络游戏和好玩的手机游戏以及最新的电子游戏。
大农庄园网致力于节日礼品,礼品定制,帮您定制端午、中秋、春节等节假日礼品方案,为您提供各种档次的春节礼品卡、春节礼品、礼品册、员工福利、礼品卡、中秋礼品、中秋礼品卡、中秋节礼品等;可根据用户的需求定制礼品配置,客户至上,用心服务!大农庄园网统一订购电话:400-600-0701
职教网是国内职业教育信息门户网站,包含各类职业教育学校的学校简介、招生简章、专业设置和就业形势等信息。职教网全国免费咨询电话:400-660-5933
找素材是一家大型综合设计类素材网站为广大用户提供优质漂亮的图片素材、PSD素材、PPT模板、简历模板、矢量素材等设计模板各类素材都是精心原创制作,符合各个行业的商用需求
企业800网(www.qiye800.com)中国领先的互联网+B2B电子商务平台,为您提供全面的B2B行业资讯、供应、求购、库存信息、品牌信息等,是中国企业做电子商务网络贸易的首选网站平台,免费商机发布,分类信息网站,中国黄页网。
好玩靠谱的手机游戏,想知道手游下载平台哪个好,好玩的手游下载排行榜,下载靠谱的手机应用app,就来36950手游网体验吧!
沈阳华森铁路部件制造有限公司专业从事于道口板,橡胶道口板,铁路橡胶道口板,价格优惠,质量有保证,深受消费者的欢迎,是您最好的选择!道口板欢迎来电详询!
主要从事光芯片、光网络元器件、传感器、光谱仪、光学仪器等的研发生产和销售。
9月8日,腾讯公司董事长兼CEO马化腾在清华大学经管学院,洞见,论坛发表演讲,在谈到中国互联网创业,永远绕不开BAT这个话题时,他表示国内确实是竞争形成这样的格局,比如微信支付并不排斥别人,但反之就不是这样了,马化腾表示,过去腾讯还没开放之前,大家对腾讯意见很大,但现在腾讯正在更加开放,但竞争确实不可避免,BAT的竞争一定程度上促进了...。
雷锋网援引路透社消息,苹果CEOTimCook参加完乌镇世界互联网大会后,于周三参加了在广州举办的财富论坛,在财富论坛上,TimCook表示,腾讯控股,中国最大的社交网络和游戏公司,是苹果的重要合作伙伴,他还表示,他非常敬重腾讯的创始人马化腾,Cook还在财富论坛上表示,对于iPhoneX在中国的表现,他非常的期待,中国是苹果的第三大...。
作者,赖文昕编辑,陈彩娴近日,5.7,5.11,,第十二届国际学习表征会议,ICLR,在奥地利维也纳的展览会议中心召开,ICLR2024的论文终审工作自1月份启动以来,共收到了7262篇提交论文,相较于上一年度的4966篇,增幅达到了46.1%,接近翻了一番,在严格的评审过程中,大会最终接受了2260篇论文,整体接收率维持在31%,与...。
智能汽车行业犹如武林江湖,人来人往之中已渐成不同派系,目前的智能汽车市场角逐,玩家们大致可被分为四派,新势力派、传统车企派、互联网派和智能手机派,新势力派以特斯拉、小鹏、蔚来、理想等为代表,他们引领行业变革,善于本质创新,也是目前二级市场最看好的派系,传统车企派以丰田、大众、通用等为代表,他们制造基础厚实,品牌名声在外,竞争力不小;互...。
发表在综合交流大区2023,10,2413,24一年一度的双十一活动正是入手投影仪的好时机,那么有哪些高性价比的投影仪值得推荐呢,下面就为大家分享高性价比的投影仪,看看双十一选购哪些投影仪性价比最高,哪些投影仪最值得入手,双十一性价比高的投影仪有哪些,第一款,当贝F6推荐理由,采用全新4LED光源技术,拥有出色的色彩表现,实际亮度高达...。
现在不少人都选择创业,但是创业有两种选择,一种可以自己创业,另一种选择品牌加盟,由公司的扶持创业,这两种方式都是不错的选择,但是具体的方式要根据自己的选择详细的做好市场调查,选择适合自己的方式进行创业,在创业的项目选择上,修理厂项目就颇受大家的喜爱,修理厂加盟好吗,如果大家想对这个问题能够有更深层次的理解,接下来大家就可以阅读下文,现...。
申明,1.以上内容仅代表揭发者自己,不代表黑猫揭发立场,2.未经授权,本平台案例制止任何转载,违者将被清查法律责任,3.黑猫揭发处置揭发不收取任何费用,凡以黑猫揭发名义不要钱的均为混充、诈骗行为,请及时报警并与黑猫官网反应,揭发邮箱heimaotousu@vip.sina.com,4.请大家选用官网渠道处置生产纠纷,不要轻信第三方机构...。
对于本田6座商务车最新价钱,本田6座商务车这个很多人还不知道,当天来为大家解答以上的疑问,如今让咱们一同来看看吧!1、楼主,本田商务车,奥德赛厂方指点价,22.38,26.98万,各地的多少钱有所不同的.本田6座双排量的商务车要30万左右,本田mpv汽车有哪几款,上方我来为大家启动解说本田新动力mpv汽车有本田奥德赛以及本田艾力绅两款...。
人造吸气发起机,能源方面,威志三厢将搭载的是装备有VCT,i技术的1.5L人造吸气发起机,最大功率到达了75kW,6000rpm,最大扭矩为135Nm,4400rpm,威志三厢的发起机可以在2和3挡时迸收回弱小的能源,发起机提速显著,只需发起机转速凑近2000转时,车辆提速便会十分迅捷,相比于同级别车型来说,威志V5的能源体现还是很让...。
[全球网报道记者李梓瑜],今天俄罗斯,RT,、,以色列时报,7月2日征引美国,纽约时报,信息称,数十名以色列初级将领示意,他们宿愿以总理内塔尼亚胡与巴勒斯坦伊斯兰抵制静止,哈马斯,达成开战协定,以便为或者与黎巴嫩真主党迸发抗争做好预备,对此,内塔尼亚胡回应称,这不会出现,,将继续成功,覆灭哈马斯,抗争指标,RT称,新一轮巴以抵触将进...。
腾讯软件中心提供2023年最新9.0.6.1官方正式版逍遥模拟器高速下载,本正式版逍遥模拟器软件安全认证,免费有插件。
存量房贷下调政策有点难懂?这些案例告诉你如何降、能不能降→,贷款,存量,房贷利率,基准利率,下调政策
昨日,TheInformation援引高通与贵州省的合资企业华芯通半导体,HXT,员工的消息称,公司高管在本周四的内部会议上表示,公司将于4月30日关闭,报道还称,截至2018年8月,高通和贵州省对华芯通半导体一共投资5.7亿美元,对此消息,高通和华芯通暂未官方回应,不过第一财经报道称,华芯通CEO汪凯已经离职,关于华芯通关闭的的传闻...。
罗永浩暗示未退出手机圈但复出需要多久,9月29日消息,有网友@罗永浩表示,等你三年,,罗永浩回复,应该用不了那么久,我起步晚,不能像乔布斯那样拖拖拉拉的,随后另一位网友发博表示,一个理想主义者的休克,会很快醒过来的,,罗永浩给出肯定回答,似乎暗示罗永浩不会退出手机圈,之前罗永浩就曾表示,还会继续做手机,但是需要一点时间,从2018年底...。
作者丨何思思编辑丨林觉民SaaS独角兽企业正在孕育中,此时,正值2016年互联网发展瓶颈期,程浩作为迅雷原创始人选择离职并随后和两位老友创办远望资本,开始了ToB领域的投资,当然从目前中国SaaS市场发展来看,程浩的选择是正确的,据相关数据显示,2020年我国SaaS市场规模为498.2亿元,2021年我国SaaS市场规模预计达666...。
奇点云是谁,简而言之,他们是中国第一家第四代云数仓公司,实现了和全球Top10的IaaS云厂商适配;他们创始团队全部出自阿里,但并非阿里投资;作为国内少有完整大数据实践经历的,玩家,,他们一直被认为是国内四大中台厂商之一······奇点云的创始人兼CEO张金银,花名,行在,2004年加入阿里,是阿里集团第一个数据仓库建立者,也是阿里集...。
香港中文大学,深圳,校长讲座教授深圳市人工智能与机器人研究院中心主任,数字经济基础,智能物联网,医疗云与孪生城市开发,...。
