使用iOS设备也不要尝试越狱,这等于是给黑客开启了安全门。
新闻背景
苹果APP病毒XcodeGhost是何方妖孽?
据华为北京研究院一位系统研发人员介绍,一款app的发布,比如微信、滴滴、58同城等,首先是要编写源代码,在编写完成后,则需要将代码编译成“可执行的文件”进行打包发布。苹果iOS app的开发需要通过苹果自家出的Xcode,把源代码编译为可执行的app,开发者才能把app上传到苹果应用商店后台,经过苹果官方审核后,app在应用商店App Store上架,正式开放下载。
“这本来没什么问题,但由于Xcode 体积较大,有几个GB,国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点,将加了后门木马的Xcode工具上传到国内网盘上,然后在各种 iOS开发论坛发帖、回复进行散播。”该研发人员说。
由于木马作者提供的 Xcode版本齐全,国内网盘下载速度相比苹果官网也更加快速,各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就上钩了。然而,这个“加了料”的Xcode会在程序员编译app的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了,但“程序猿”们对此毫不知情。
“按道理,每款app被放置到苹果的官方应用商店供用户下载前,是需要通过苹果平台的检测的。”该研发人员表示,遗憾的是苹果也没有检验出应用里含有木马病毒,很多app用户因此中招儿。
延伸阅读
2012年,Flashbake木马病毒爆发,74.8万台苹果计算机被感染,苹果公司被迫将“It doesn't get PC viruses”(它不会感染电脑病毒)的宣传语悄然替换为“It's built to be safe”(它致力于搭建安全的系统)。
