包括很多业内人士都认为,iOS是目前最安全的移动安全平台,因此很多人选择把涉及敏感数据的应用,包括手机银行、支付宝、12306、运营商等,都安装在iOS而不是安卓设备上。然而,近日曝光的一条新闻似乎否定了这一看法。
包括很多业内人士都认为,iOS是目前最安全的移动安全平台,因此很多人选择把涉及敏感数据的应用,包括手机银行、支付宝、12306、运营商等,都安装在iOS而不是安卓设备上。然而,近日曝光的一条新闻似乎否定了这一看法。
其实昨天下午我在twitter上就看到了这条消息,当时也给了一些人看过,大家的反应大致是,哦,反正我的xcode是官方下载的云云...总之我也就没往心里去。
谁知今天上午开始,可能是由于乌云平台发布了这个漏洞,并且经过了微博大V转发的关系,关于这个漏洞的讨论一下子就激烈了起来。
简单来讲,这个事情是这样的:
更多详细内容和分析,可以看这篇乌云的报告,以及这篇目的分析。
到底有哪些危害?
用户的设备相关隐私信息泄露;
可能跳过App Store安装未经审核的企业应用;
可能盗取了用户的iCloud账户和密码;
你,你,还有你,一个都跑不了...
那么,到底有哪些app中招呢?
截至目前,我整理了一下Timeline上看到的:
网易云音乐、中信银行动卡空间、12306、滴滴打车、中国联通手机营业厅、高德地图、简书、豌豆荚的开眼、网易公开课、下厨房、51卡保险箱、同花顺、微信6.2.5...
我要采取什么措施吗?
卸载上述提及的应用,并修改iCloud密码,开启两步验证。
但是,由于目前并没有完整的受感染app列表,所以,不能排除完成上述操作之后仍有潜在风险。
要想根治,只能把所有app依次使用一遍,并且监听有没有向 http://init.icloud-analysis.com 传数据,有的一律卸载,然后再更改密码,并开启两步验证。
究竟是谁的问题?
首先,开发者不应该从非官方渠道下载Xcode;
其次,第三方分发Xcode,本来就违背了苹果的用户条款;
再次,即便复制官网下载地址丢到迅雷或者百度网盘下载也会下载带木马的版本,所以两者的下载机制也存在问题;
复次,开发者关闭了Gatekeeper,或者直接忽略了警告;
最后,苹果的应用审核机制理应成为app安全的最后一道保障,但显然“形同虚设”。
通过这件事,我们可以得到什么启示?
安全是相对的,要养成良好的使用习惯;
对国产应用保持高度、绝对警惕;
Android的开发者工具包下载地址是墙外的,嗯,别的就不多说了...
One More thing...
当然,你可以说,我听歌只买正版碟不用网易云音乐,出行只乘飞机不坐12306,聊天我用支付宝而不是微信,信用卡只刷运通黑金..我完完全全的逃过了这次#XcodeGhost事件;
你也可以说,我是安卓/VVP用户,这个问题只有那些平素自以为高端的水果用户才会遇到,在没有明确漏洞曝光之前,我没什么可忧天的;
甚至,你还可以说,即使我的身份证号/住址、银行卡、手机号、iCloud账号密码这些数据泄密了,我也不在意,因为我是个穷人,没什么好被偷的...
但是,别忘了,Xcode可不只是用来开发iOS应用。虽然目前该漏洞只针对iOS应用,但不排除未来可能利用类似的木马机制,来攻击手机以外的智能设备——比如,智能汽车。毕竟,就像 @Cjie 说的:“网络安全现状如此,未来的无人车就更不要指望了,手机出事最多是个资外泄,汽车上有个后门那就是赌命了。”
网友评论