蘋果回應XcodeGhost事件:公佈25個受感染應用
- 發佈時間:2015-09-24 09:33:34 來源:中國網財經 責任編輯:湯婧
中國網科技9月24日訊 滿城風雨的“XcodeGhost事件”有了官方解釋,蘋果公司今天為上線專題頁面對外告知此事,並列出25款受牽連應用。
頁面中,蘋果正式對外解釋此事的緣由及處理方式,並列出了25款受感染應用,它們中大多已經重新更新上架,也有一些暫時被下架,等待更新去除安全隱患之後再上架。
以下為蘋果對 XcodeGhost 的問題和解答
我聽説了由 XcodeGhost 開發的惡意 app — 這是怎麼回事?
我們一直建議開發者使用由我們提供的免費、安全的工具,包括 Xcode,從而確保他們為 App Store 的用戶開發出安全的 app。一些開發者下載了已被惡意軟體感染的盜版 Xcode,由此開發的 app 也同樣受到感染。
Apple 特意使用諸如 Gatekeeper 等技術,以防止安裝從非 App Store 渠道下載的應用程式,和 / 或安裝包括 Xcode 在內的未簽名的應用程式。當開發者為了能安裝類似 XcodeGhost 等惡意程式時,這些保護措施會被刻意地禁用。
作為 Apple 向開發者提供的業界先進工具之一,以下措施可以確保軟體未被篡改:
•Xcode app 有 Apple 的代碼簽名。
•從 Mac App Store 下載 Xcode 時,開發者的電腦系統對 Xcode 的代碼簽名自動進行檢查和驗證。
•從 Apple Developer Program 網站下載 Xcode 時,只要 Gatekeeper 沒有被禁用,默認開發者的電腦系統對 Xcode 代碼簽名自動進行檢查和驗證。
為什麼開發者會不顧用戶的安全下載盜版軟體?
為了更快下載我們的開發者工具,開發者有時會從其他非 Apple 站點搜尋。我們正努力讓中國的開發者可以用更快的速度下載 Xcode beta 版。為了驗證自己的 Xcode 沒有被更改,他們可以通過 developer.apple.com 列出的步驟進行驗證。
這會對我有什麼影響嗎?如何得知我的設備是否受到了影響?
我們目前沒有任何資訊表明這些惡意軟體與任何惡意事件相關,也沒有資訊表明這些軟體被使用在傳播任何個人身份資訊的用途上。
我們目前沒有看到任何客戶個人身份資訊受到影響,而且代碼無法通過用戶身份請求來獲取 iCloud 或其他服務的密碼。
只要一經發現這些 app 有可能通過惡意代碼開發,我們就對其進行下架處理。開發者們正在快速更新他們的 app,以便用戶使用。
惡意代碼只能提供一些基本資訊,比如 app 和一般系統資訊。
從 Apps Store 下載 app 是否安全?
我們已將由該盜版軟體開發的 apps 從 App Store 中撤下,並攔截了通過該惡意軟體開發的新 app 進入 App Store。
我們正與開發者緊密協作,以確保受到影響的 app 儘快回到 App Store 供用戶使用。
我們在此頁面列出受到影響的前 25 個 apps。除受影響的前 25 個 apps 外,受影響的用戶數量已顯著減少。
如果用戶已安裝其中的 apps,他們可以通過在設備上運作更新解決存在的問題。如果 app 已經在 App Store 上線,則表明已經更新完畢;暫未上線的 app 將很快完成更新。