蘋果證實大量應用程式被惡意代碼感染

　　包括微信、滴滴出行、同花順等

　　APP創業熱，凸顯資訊安全問題

　　近日，多款知名社交、地圖、出行APP的iPhone版被爆出有“惡意代碼”，騰訊發佈報告稱受影響用戶可能超過1億。記者多方採訪了解到，本次事件“源頭”叫Xcode，受惡意代碼影響，由這款工具開發的iOS版APP以及MacOS的程式都會被影響，都存在洩露個人隱私的危險。

　　針對蘋果應用商店被曝有部分應用程式感染了惡意代碼，美國蘋果公司20日證實，其官方開發工具軟體Xcode遭到駭客攻擊和修改，致使用其開發的很多應用程式也被感染。蘋果還表示，已從應用商店刪除了這些被植入惡意代碼的應用。

　　蘋果APP遭惡意代碼感染

　　資訊安全企業帕洛阿爾托網路公司的研究人員説，一個新的惡意代碼通過修改Xcode軟體，感染了iOS系統所用的應用程式。他們發現已有39款應用受到感染，其中有些應用在中國及其他國家和地區非常流行，影響到數以億計的用戶。

　　被植入惡意代碼的iOS系統應用套裝程式括微信、滴滴出行、鐵路12306、同花順等。荷蘭安全公司Fox－IT則探測到中國境外數以千計的惡意流量，發現有56款iOS系統應用程式受到感染。

　　對於本次安全事件，14日，國家級網路安全應急機構——國家網際網路應急中心（CNCERT）發佈《關於使用非蘋果官方Xcode存在植入惡意代碼情況的預警通報》中提到，“開發者使用非蘋果公司官方渠道的Xcode工具開發蘋果應用程式（蘋果APP）時，會向正常的蘋果APP中植入惡意代碼。被植入惡意程式的蘋果APP可以在App Store正常下載並安裝使用。該惡意代碼具有資訊竊取行為，並具有進行惡意遠端控制的功能。”

　　這意味著，只要用這款工具開發的蘋果APP，都有洩露個人隱私的可能。雖然沒有確定問題的嚴重性，但是CNCERT的建議非常明確——“相關開發者或網際網路企業，在開發蘋果APP過程中，切勿使用非蘋果官方渠道的Xcode工具”。

　　APP開發及編譯工具

　　亟需“重兵把守”

　　綜合來看，以往安全事件多是某APP的個體事件，但本次安全事件則算得上系統性事件。對此，安言諮詢總經理張耀疆認為，“這起事件反映了一種潛在風險，即在用戶甚至開發商不知曉的情況下，也有洩露所有個人資訊的可能性。即使這次解決了，開發者也很難保證下次不出現類似問題，因為這不是一家能解決的問題，而是整個移動開發鏈條上的問題。”

　　“這次事件給整個業界提了個醒，開發及編譯工具應該是需要‘重兵’把守的‘城門’。”資深安全專家林正隆表示。

　　對於本次事件的後續影響，啟明星辰副總裁歐陽梅雯告訴記者，“目前手機APP創業非常熱，大部分公司為了趕進度，很多規則就模糊了。即使在安全實力很強的企業，業務部門也可能不太注重安全，搶著就把APP上線了。但一旦出現安全問題，不僅會對企業品牌産生負面影響，而且中招軟體的卸載率也會很高。”

　　對此，張耀疆、歐陽梅雯建議，眾多開發商提供的東西良莠不齊，很多中小企業不具備軟體自檢的能力，這類軟體在市場上流轉就隱藏很大風險。因此，有關部門應該建立一個不依賴任何企業的安全控制機制，把這些應用管起來。此外，儘管本次事件影響巨大，卻似乎沒有任何人將為此負責，這也再次凸顯個人資訊保護立法立規的重要性。 據新華社