中国移动互联网第一大案 微信们该不该道歉?

我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

(文/一福;微信公号:iFinance1221)

这两天,被苹果XCodeGhost特洛伊刷屏。通过在iOS开发工具Xcode中插入恶意代码的病毒传播方式在iOS上还是第一次。 这也是去年黑客攻破苹果iCloud服务器并公开女明星私人照片后的有一次重大安全事件。

黑客已经基本控制了你的手机

来自多个安全团队的数据,AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿;这些用户可能面临帐号泄露及经济损失的风险。

按安全专家的说法,除了APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备应用信息能被上报至黑客控制的服务器,能精准的区分每一台iOS设备。

而对于普通用户来说,后果远远超过想象。黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。 实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

黑客要偷什么?这些工程师怎么了?

为什么要偷apple帐号?简单说几点,一来可以帮第三方游戏及软件等app应用刷榜,通过其下载量变现;乱发imessage广告和短信变现;更危险的是,知道用户的帐号后能得到相当的权限,除了在苹果商店下载大量的免费应用,当用户账户有钱的时候,可以轻易用你预存的钱或你的信用卡买app,偷账户里的钱,想想都可怕。至于多数人担心的照片流出,其实,除非你是范X冰,否则人家对你的照片根本没啥兴趣,也不至于花这么大劲。

看看这次受影响APP的名单,惊讶于其中不乏来自各大知名公司的应用产品。影响最大的可能就是微信,此外诸多高频应用包括炒股应用同花顺、高德地图滴滴打车、网易云音乐等。甚至还有中国联通手机营业厅赫然在列。

按理说,开放这些应用的大公司应该有正确的电脑和软件的使用制度。由公司统一配置开发所用电脑和测试所用的手机,以及上传相应的软件和工具,它们的升级也应该来自公司可信的来源。比如公司自己的专用内部服务器,负责开放工具的分发及升级,或者直接从apple官方下载,不允许用不明来源的电脑及软件来做这个事。Apple官网服务器在国外,这个客观事实让不少开发者感到下载速度特别慢,导致中途可能出现中断的现象,不可否认直接影响开发进度。为了提高效率,有工程师就在下载Xcode后,放到网盘上供其他人下载,也有的工程师可能就逾越了本来的官方渠道,到第三方下载,进而污染了公司开发系统内部,而这次的问题就出在这里。

为什么这些应用的开发方不用自己的服务器分发开发工具,工程师要到外面去乱找? 对于大公司开发软件项目,几乎都是由一组工程师来完成,例如微信不可能是一名工程师单独研发的,高德地图、滴滴出行、网易云音乐、这些高频应用也不可能是一个人做出来的嘛。相信腾讯、网易、高德地图、同花顺、联通这些大公司是有完善的开发制度可依,但可以肯定说,这次事件暴露了这些制度形同虚设,执行不到位,导致的结果就是给用户带来了到现在还难以预估的巨大风险和损失。

网易云音乐就此事在当天下午发布了公告,称此次感染涉及信息皆为产品的系统信息,无法调取和泄露用户的个人信息;微信发出的声明指出,目前只有在6.2.5版本中发现了这一问题,而这一版本下载的人数很少,所以真正出现问题的群体并不像大家想象中那么大。但事实可能并非如此,微信的用户群体非常大,仅仅6.2.5版本下载的人数就非常可观,而这些感染的用户可能未必认识到风险而及时升级或卸载有问题的版本。就不用说目前其他多款热门软件尚未发出类似的声明,其用户都在高风险中。

但事发这么多天来,不是每个公司都第一时间发现了问题,而且,声明归声明,到现在为止没有哪一家涉事公司采取更积极负责任的做法。例如强制升级,并同时禁止旧版本使用;用弹窗等发法明确告知用户;而且目前还没有哪家公司表示向警方报案,严惩犯罪分子。

中华人民共和国计算机信息系统安全保护条例总则第七条明确指出,任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。截至目前,没有听说哪家公司诉诸法律对此事进行报案。

苹果中毒!这些公司又做了什么?

回头说苹果,之所以此次事件引发强烈关注,其中一个原因就是它攻陷了大众对苹果安全性的心理预期。这次事件也再次暴露了苹果对安全的忽视。 

苹果的责任是什么?首先,第一时间应该下架目前所有有问题应用;及时发布工具让开发者检测自己的开发环境是否已被污染;并帮助苹果用户快速检查手机里是否存在问题应用,并提示卸载。到目前为止,笔者在苹果官方网站没有看到苹果公司采取任何积极的措施,让用户知晓自己可能面临的风险,就不用说采取其他积极的措施补救了。一直以来,苹果iPhone、iPad等设备被认为是比Android等其他设备更安全的平台,接二连三的事件让苹果更安全的神话破灭。就在不久几天前,苹果发布了新的iPhone 6S系列手机及iPad Pro等设备,希望能够进入更深的商务市场,而安全性正是商务人士及企业更关注的基础。以库克为代表的新一代苹果高管若不对本次事件采取积极的应对态度,势必影响大众对苹果公司管理层的质疑。

事件发生后,腾讯、网易、阿里巴巴等公司虽然发表了声明;但仔细阅读了这些声明发现一个共同的问题:对用户可能面临的风险避重就轻,回避自己应该承担的责任。 用户如果因为帐号泄露出现了经济损失或其他后果,这些公司是不打算承担相应责任的。而这件事之所以能够这么严重,最主要的原因就是以上这些公司的开发人员不严格尊重相应的管理制度,将恶意代码意外引入,这些公司内部的管理核查又是走形式,从而使得感染了恶意代码的app通过合法的苹果应用商店发布出去。以上公司在事件发生后虽然积极研究,并更新了版本,但对用户风险提示进行掩饰,可能进一步误导用户对风险的重视不足,使得问题没有及时彻底解决,对将来用户构成进一步风险。

另外, 这是中国移动互联网历史上,第一个重大的涉及犯罪的案件 ,各个涉事公司,竟然都对犯罪分子采取纵容放任的态度,不去报案。目前,网易表示犯罪分子的服务器已经关闭,所以用户就是安全的。这样的表态是非常不妥及不负责的,这些精心策划恶意代码的犯罪份子,目前可能只是蛰伏避风头,如果不能以法律手段严惩,将来还有可能酿成更严重的事件,从而对社会,对大众构成更严重的风险和损失。我国对高科技犯罪向来是严格执法,以之前熊猫烧香等经典案例来看,法律制度是完善的,但互联网业界的相关公司不能讳疾忌医,让公众安全承受威胁。

据盘古团队一款Xcode病毒检测工具, 目前有检测出有问题的不同版本应用超过800个, 仍在持续增加。

那现在用户到底怎么办?这次爆发主要受影响的是中国苹果用户,微信都中招了,赶快换苹果ID的密码是一件重要的事。

疑似受影响APP不完全名单及版本号

微信 6.2.5

自由之战 - 1.0.9

我叫MT - 4.6.2

我叫MT 2 - 1.8.5

电话归属地助手 - 3.6.3

夫妻床头话 - 2.0.1

同花顺 - 9.26.03 - 9.26.01

铁路12306 - 2.1

穷游 - 6.4.1

滴滴打车 - 3.9.7

滴滴出行 - 4.0.0

高德地图 - 7.3.8.2037

网易云音乐 - 2.8.3

联通手机营业厅 - 3.2

简书 - 2.9.1

网易公开课 - 4.2.8

下厨房 - 4.3.2

51卡保险箱 - 5.0.1

开眼 - 1.8.0

同花顺 - 9.60.01

一福:百家百家、搜狐今日头条虎嗅等平台作者

扫描下面二维码关注微信公号:iFinance1221

本文被转载2次

首发媒体 百度百家 | 转发媒体

随意打赏

提交建议
微信扫一扫,分享给好友吧。