苹果又出事 信息安全何时休?
- 来源:消费电子 smarty:if $article.tag?>
- 关键字:苹果,信息安全 smarty:/if?>
- 发布时间:2015-10-13 17:57
国内白帽黑客元老深度解读
苹果去年的艳照门事件震惊全球,如今又再次摊上更严重的安全问题——在APP Store上架的APP感染了恶意代码病毒!被视为“最安全”的苹果系统的神话被彻底打破。据最新数据显示,4400多个应用版本受此恶意代码影响,已经有超过数亿苹果用户的信息遭受泄露,存在严重的潜在安全风险。为何苹果又再次出现如此严重的安全事故呢?这背后对于广大用户来说又将面临怎样的风险呢?如何才能维护自己的信息安全呢?面对一系列的疑问,本期《消费电子》杂志记者将通过采访用户、专业人士以及知名律师为大家一一解答。
苹果出了什么事?
苹果的iOS系统素来以安全著名,凭借封闭循环的系统模式,有效保证了系统的安全。然而,日前苹果的APP Store上的APP被曝感染了恶意代码病毒,这一事件震惊了业界,也让苹果的安全神话彻底被打破。
此次是苹果的开发工具Xcode遭受攻击才导致APPStore上面的APP受到恶意代码病毒的污染,苹果官方表示,此次攻击中,黑客诱骗应用开发者使用了修改过的苹果应用开发工具Xcode,从而将恶意代码注入至这些应用。而据行业安全人士分析,Xcode被恶意植入的是一段可将一些用户的数据信息传送到一个假冒的苹果官网(目前已经关闭)的代码,业界将其命名为XcodeGhost病毒。
由于Xcode是开发苹果应用的工具,其遭受了污染就相当于煮饭的工具遭受污染了,然后煮的饭菜都有毒,因此所有采用了受污染的Xcode开发的苹果应用都会受到污染。据i春秋研究员的实验发现,无论你的iOS手机是否越狱,也无论你是否从官方APPStore下载应用程序,只要安装了通过被感染Xcode编译出来的APP,就会染上病毒。
目前被曝感染Xcodeghost病毒的APP版本已经超过4400个,其中不乏用户量巨大、打开率极高的APP,如微信、12306手机客户端、滴滴打车(已更名为滴滴出行)、中信银行行动卡空间、高德地图、网易公开课、中国联通手机营业厅、简书、豌豆荚开眼、51卡保险箱、同花顺等数十个APP的某些版本,直接影响数亿的用户。
知识链接:
Xcode是苹果公司提供的开发OSX和iOS上的集成开发工具(IDE)。换句话说,Xcode是目前开发Mac系统和iPhone应用的最佳工具。
病毒传入用户手机的过程:
开发者通过非官方渠道下载植入木马的Xcode工具 利用这些工具开发APP APP自动感染病毒 APP上传到应用商店,检验不严格,正式上架 用户下载APP,手机感染病毒。
泄露的庞大信息可能会流向黑客产业链中
对于苹果Xcode事件,很多用户都会有一系列的疑惑,如为何带有Xcodeghost病毒的Xcode会被广泛流传并进入开发者手中?哪些信息遭受了泄露?存在哪些危害?应该如何避免损失?对于用户的种种疑问,记者邀请了永信至诚CTO张凯为我们解答。同时张凯分析,泄露的庞大信息可能会流向黑客产业链中。
张凯
永信至诚CTOi 春秋团队负责人
曾任中国移动集团资深项目经理,负责中国移动集团移动恶意软件查杀系统的设计及标准制定。2013年加入永信至诚公司任CTO。
苹果的安全是以其系统的封闭性来保证的,所有用户下载的APP都会经开发者上传到APP Store进行审查和发放。但是Xcode Ghost病毒感染的是开发者的开发工具,并且对自己的行为做了伪装,导致苹果的审查机制以为这个病毒的要求是开发者的要求而予以放行。由于苹果的监控仅限于对提交的APP进行安全审核,但是不能监控后续该病毒与病毒作者的服务器的沟通。这也从一个侧面暴露出苹果的审查机制有漏洞,才会让病毒作者有机可乘。
Xcode Ghost能如此大范围传播,主要是和Xcode Ghost的传播思路有关系。传播者将被感染的Xcode开发工具上传到云和离线服务器、bbs等公共下载平台,因为在国内从苹果官网下载软件(Xcode开发工具)速度比较慢,所以很多人因为偷懒就在第三方渠道下载,加上传播者故意的诱导,从而引发如此大范围的传播。
由于Xcode Ghost自身隐藏的比较好,而且一直没有做恶,只是伪装成正常APP的请求在默默地往指定服务器传送用户数据,因此一直都没有被发现,但是尚不知具体从什么时候流入到APP Store,也就是说不知道Xcode Ghost运行了多久。
乌云知识库作者蒸米对注入的病毒样本“Xcode Ghost”进行了分析,该病毒会收集应用和系统的基本信息,包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等,并上传到init.icloud-analysis.com(该域名为病毒作者申请,用于收集数据信息),虽然这些信息不算敏感信息,但是不排除这些庞大的信息会流向黑客产业中的可能性。
目前我们分析出了三个潜在威胁。第一,通过DNS劫持来被坏人通过路由器伪造服务器地址,让用户信息继续泄露,同时,还可以通过漏洞给用户强制安装APP并伪造短信等;第二,病毒作者的传播思路很可能会被人学习,为未来更多恶性病毒传播提供了经验;第三,病毒原作者可能还做了基于Android开发平台病毒,和Xcode Ghost类似。所以Android手机用户也可能已经感染了病毒,而且目前没有流行的查杀办法,最好尽快升级最新版APP。
目前据不完全统计,有4400多个应用版本(含一个APP的多个版本)中毒,数字还在增加中,不过这个数字不是苹果官方公布的,而是安全公司通过技术手段扫描和搜集的。
对于iOS用户来讲,目前最有效的检测中毒应用的手段是下载盘古团队开发的Xcode病毒检测工具。对于开发者和开发公司来讲,最有效的检测方法是下载启明星辰的检测工具,或者把APP包上传到启明星辰VirusBook.cn进行检测。如果不考虑换手机的话;第一,需要尽快修改icloud密码;第二,使用盘古的查杀工具来自检;第三,及时从APPStore更新官方最新应用。
黑色产业知识链接:
黑客可以通过将病毒预置在APP中,窃取手机中我们的个人隐私信息,甚至发送诈骗短信、篡改我们的用户数据等等。黑客这么做的目的无非是为了获利,在黑色产业中,大量的用户信息是可以明码标价进行售卖的,而上亿的用户信息,其价值无法估量,甚至不排除可以利用这些信息达成一些政治目的的可能性。
实战型安全人才缺失 数据时代 安全为王
苹果Xcode事件也为科技信息业界敲响了警钟,当然这个事件也让业界存在的安全隐患问题得以暴露。在未来应该如何应对更多的安全问题呢?记者邀请了著名的资深安全技术专家蔡晶晶解读苹果Xcode事件对业界的影响。在他看来,苹果Xcode事件足以载入移动安全的史册,其对苹果开发工具感染的技巧堪与著名的伊朗铀浓缩设备被蠕虫损坏的震网事件相提并论。(震网事件由于西门子工业开发集成工具WinCC中被入侵者感染了恶意代码,使与WinCC连接的工业控制系统被间接感染,最后导致了大量伊朗核工业设备物理损坏。)
蔡晶晶
永信至诚创始人 i春秋,e春秋产品经理 国内白帽黑客元老
中国信息安全领域最早的资深技术专家之一,“国家级信息安全特聘专家”、“中国漏洞库专家委员会委员”、北京奥运会“反黑客方向带头人”、“互联网网络安全应急专家组委员”、“北京市公安局计算机安全技术专家”;承担多项信息产业部信息安全科研项目、国家863项目、科技部重大项目、核高基等国家级科研项目。
目前企业对信息安全的重视程度确实普遍不够,IT企业中,乃至传统企业的IT部门中,关心安全考虑安全的往往仅仅是安全部门的人员,业务部门、开发部门的人员往往不具备基本的信息安全意识和基础,甚至对安全规定有抗拒性,认为会降低自身工作的效率,加上安全部门自身的人员缺口也很大,实际情况就是,人是企业内部安全最薄弱的环节。
目前企业对信息安全的重视程度确实普遍不够。传统企业乃至IT企业的IT部门,往往仅有安全部门的人员关心和考虑考虑安全问题,业务部门、开发部门的人员往往不具备基本的信息安全意识和基础,甚至对安全规定有抗拒性,认为会降低自身工作的效率。再加上安全部门自身的人员缺口也很大,所以实际情况就是,人成为企业内部安全最薄弱的环节。
XcodeGhost病毒的爆发和蔓延,可以成为移动开发领域的一个无法被忽视的里程碑,将安全提升到了新的高度。这件事会让很多开发人员以及管理者都意识到信息安全在移动开发中的重要性,因为越来越多的企业将自身的应用放到了APP上,而如果你的APP因为安全问题导致客户的隐私泄露,甚至是财产损失,那企业面临的将不仅仅是声誉的损失,会有更严厉的经济和法律风险。这件事会敦促更多的企业负责人和从业者提高对安全的重视程度,企业安全真的需要包括研发人员和管理者在内的全员参与。
网络安全的攻防对抗是一个动态的过程。长期以来,虽然我国的网络监管相对严格,但在具体的技术储备和研究上与美国这样的网络强国还存在一定的差距。其中最突出的一个问题就是,我们长期提倡“安全保障”,在意识和宣传上都避讳提到“攻击”二字,甚至部分安全从业人员都对各类攻击手段和方法缺乏实质的认识,往往流于纸上谈兵。但是,“未知攻,焉知防”?
目前,真正具有实战能力、了解攻击手段和攻击工具的实用型人才在中国远远不够。这些实用型人才的缺失造成了我们在防御时的思路和手段还是要比攻击者慢半拍,所以往往是防不胜防。而在美国,无论是民间还是政府,其交流氛围更为开放和活跃,BlackHat等著名的黑客大会堂而皇之地举办了多届,大量具有实战能力的人才被发现和召集,形成的黑客文化又可以持续吸引一代又一代的年轻人加入到这个行列,甚至推出了“CEH(道德黑客认证)”这样完全侧重实战的顶级安全认证。这些对我国的网络安全建设是巨大的启示:只有重视人才,尤其是实用型人才的培养,加强安全人员的实战能力,才能真正谈到建立网络安全强国,贯彻我国的网络安全战略。
改变现状需要做很多事情,我觉得现在我们已经走出了最重要的一步,就是国家重视、高层重视。首先,我们的企业和每个处于信息时代的个体也需要增强安全意识,关注网络安全,这和我们息息相关;其次,要增强我们的网络安全能力,主要的手段就是大力培养安全人才。我看到过一个数字,说2014年统计国内的安全人才需求是100万左右,而从学校和企业培养出来的人是多少呢?2万!这个差距实在太过巨大了,无论我们意识上多么重视,如果没有实际行动,我们改变现状、建设网络强国的目标就无从谈起。培养人才、锻炼人才、检验人才、输送人才的体系必须尽快建立。这个体系不能只靠国家推动,企业甚至每个人都要重视和付诸行动,这是挑战也是机遇。我认为,未来10年将属于网络安全能力更强的企业和个人:数据时代,安全为王!
用户忧虑但缺乏维权意识
当苹果Xcode事件发生后,很多用户都感到很忧虑,均在关注此事件何时能得到解决,担心自己的信息遭受泄露后会带来其他经济损失。但在采访过程中发现,用户们均较缺乏信息维权意识。
苹果用户:饶先生
当苹果Xcode事件发生后,最关注的是哪些APP中毒了,再看看自己有没有下载。虽然知道此次事件导致了用户信息遭泄露,但是自己不会去维权,也没有关注过这块;而且现在信息被盗取很正常,如果不涉及到自己的生活,都不会太在意。
安卓用户:肖小姐
虽然是安卓用户,但是苹果发生了这样的问题,自己也是很担心安卓的APP也会有这样的问题,担心病毒继续传播,因为APP的东西感觉都是相通的,应该会有一样的软肋,加上安装某一个APP的过程中,用户完全不可控,只能按照APP的指示安装。现在处于网络时代,基本做不到完全保护自己的信息安全,自己也不知道有什么维权渠道,只能听天由命,低调生活。
律师:苹果不担责用户可采用司法程序维护信息安全
苹果Xcode事件的责任赔偿也是业界关注的焦点。知名律师杨河为我们从法律的层面解读该事件,同时也为消费者提供了信息维权渠道。
杨河
广东格林律师事务所资深律师
杨律师表示,在该事件中开发者负有不可推卸的责任,他分析称:“第一,制造木马病毒的人是直接的侵权人,最应该承担责任;第二,中毒的APP开发者没有经过严格的检查,这个发布方也要承担责任,因为他们有义务保证上传的APP的安全。”
事件的主角苹果该不该承担责任呢?杨律师表示在这个事件中苹果不担责。苹果作为管理方,在这个事件要分两种情况界定,第一,如果苹果并不知道这些APP带有病毒,则从法理上来讲,苹果不应承担相关的责任;第二,如果苹果发现了Apple Store里面的APP带有病毒,但并没有提醒用户和APP所有者,也没有采取措施解决,那么这种情况下导致用户继续使用并遭受病毒侵害的话就需要承担赔偿用户损失的责任。但在这个事件中,一方面,苹果在主观上并不是故意放任这些带有病毒的APP上传至Apple Store;另一方面,苹果并没有在监管上存在明显的失职。此外,如果苹果第一时间发现了APP带有病毒,并且第一时间采取措施阻止这些病毒进一步侵害用户,那么根据法律的避风港原则,苹果也不需要承担责任。
不过杨律师表示,苹果不担责并不代表用户不可以向苹果主张责任,他分析称:“对于这种大型知名的企业来说,一般会基于保护用户的利益考虑,从道义的角度着手,会给用户一定的补偿或者赔偿。因此用户可以向苹果主张责任。而苹果在向消费者赔偿后可以向带有病毒的APP所有商索取相对应的补偿,让APP商承担相应的补偿。”
对于赔偿问题,杨律师告诉记者,具体的赔偿要看消费者受到的损失情况,一般来说,民法里规定仅赔偿直接损失,但目前信息安全领域的直接损失的衡量标准不明确;间接损失就不会赔偿了,譬如,手机中了病毒,导致手机死机,数据丢失,这种情况不属于赔偿范围。
就目前,从中国的法律体系来看,如果只是隐私信息泄露出去了,但并没有造成直接的经济损失的话是不能得到赔偿的。因为隐私信息泄露出去了,有可能会造成直接经济损失;但也有可能不会造成直接经济损失。当有明显的迹象表明因为隐私信息泄露导致了直接的经济损失的话就可以索取赔偿,譬如,当手机中毒后,自己的银行账户密码被盗,卡里的钱被转走了,像这种很明显的能看得见的直接经济损失,就可以要求相关责任者赔偿。
目前信息遭受泄露时有发生,用户的维权也成为了人们关注的焦点。但在杨律师看来,目前信息维权还是相对比较难!他分析称:“目前中国的用户还没有很好的办法维护自己隐私信息泄露造成的间接性损失,因为中国目前还没有一些类似美国的专门的赔偿性条款规定,而且一方面国家在执行相关法律的力度还不够,打击侵害用户隐私的力度也不大;譬如虽然我国刑法上面有隐私侵权的规定,但是一般只有在很严重的时候才会追究,但对于一些普通的隐私信息泄露等问题都没有去追究。另一方面,民事赔偿方面的力度也不足,不能起到制裁相关违法行为的目的;如果我们国家的法律能适当增加一些赔偿,如精神损失费等,这样将有助于限制隐私信息泄露的行为发生。最后与我国的诚信制度未能建立也有很大影响。”
虽然目前隐私遭泄露的维权确实比较难,尤其对于个人用户来说,但是用户也可以走司法程序,去法院起诉相关责任方来维护自身权益。不过杨律师提醒,用户在走司法程序前要做好证据收集工作,譬如自己的损失情况、相关联的证明、截图信息等。如果有条件最好聘请专业律师帮助走司法程序。
最后,在维护信息安全方面,杨律师建议,作为个人,在平时应该要注意保护自己的信息安全,尽量到知名有保障的软件应用商城下载相关的应用;APP开发商要做好把关,做到严格检测,保证开发的APP安全;国家层面要完善相关法律,加大惩罚力度和执法力度;民法方面也要增加多一些赔偿措施,加大违法成本。
总结:信息安全需要全民重视
信息安全问题一直让人倍感遗憾,如何让信息安全事故不再发生,拷问着政府、所有科技信息企业以及所有消费者。现在对于信息安全问题,很多人养成了一种事不关己高高挂起的心态,认为这些信息泄露是常态,其实这种态度是危险的!如果没有强有力的信息维权意识,就很难有推动改变目前信息安全现状的动力。信息安全事故是人为造成的,是缺乏足够的意识造成的,是完全可以避免的!但是这需要全民的高度重视才能实现!希望苹果的Xcode事件能为中国的所有消费者、科技信息企业带来更深层的触动!
记者/钟佳德