网络安全公益联盟 安言咨询

正文

App创业热凸显信息安全问题

近日,多款知名社交、地图、出行App的iPhone版被爆出有“恶意代码”,腾讯发布报告称受影响用户可能超过1亿。记者多方采访了解到,本次事件“源头”叫Xcode,受恶意代码影响,由这款工具开发的iOS版App以及MacOS的程序都会被影响,都存在泄露个人隐私的危险。

针对苹果应用商店被曝有部分应用程序感染了恶意代码,美国苹果公司20日证实,其官方开发工具软件Xcode遭到黑客攻击和修改,致使用其开发的很多应用程序也被感染。苹果还表示,已从应用商店删除了这些被植入恶意代码的应用。

苹果App遭恶意代码感染

信息安全企业帕洛阿尔托网络公司的研究人员说,一个新的恶意代码通过修改Xcode软件,感染了iOS系统所用的应用程序。他们发现已有39款应用受到感染,其中有些应用在中国及其他国家和地区非常流行,影响到数以亿计的用户。

被植入恶意代码的iOS系统应用程序包括微信、滴滴出行、铁路12306、同花顺等。荷兰安全公司Fox-IT则探测到中国境外数以千计的恶意流量,发现有56款iOS系统应用程序受到感染。

对于本次安全事件,14日,国家级网络安全应急机构——国家互联网应急中心(CNCERT)发布《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》中提到,“开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果App)时,会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。”

这意味着,只要用这款工具开发的苹果App,都有泄露个人隐私的可能。虽然没有确定问题的严重性,但是CNCERT的建议非常明确——“相关开发者或互联网企业,在开发苹果App过程中,切勿使用非苹果官方渠道的Xcode工具”。

App开发及编译工具亟需“重兵把守”

综合来看,以往安全事件多是某App的个体事件,但本次安全事件则算得上系统性事件。对此,安言咨询总经理张耀疆认为,“这起事件反映了一种潜在风险,即在用户甚至开发商不知晓的情况下,也有泄露所有个人信息的可能性。即使这次解决了,开发者也很难保证下次不出现类似问题,因为这不是一家能解决的问题,而是整个移动开发链条上的问题。”

“这次事件给整个业界提了个醒,开发及编译工具应该是需要‘重兵’把守的‘城门’。”资深安全专家林正隆表示。

对于本次事件的后续影响,启明星辰副总裁欧阳梅雯告诉记者,“目前手机App创业非常热,大部分公司为了赶进度,很多规则就模糊了。即使在安全实力很强的企业,业务部门也可能不太注重安全,抢着就把App上线了。但一旦出现安全问题,不仅会对企业品牌产生负面影响,而且中招软件的卸载率也会很高。”

对此,张耀疆、欧阳梅雯建议,众多开发商提供的东西良莠不齐,很多中小企业不具备软件自检的能力,这类软件在市场上流转就隐藏很大风险。因此,有关部门应该建立一个不依赖任何企业的安全控制机制,把这些应用管起来。此外,尽管本次事件影响巨大,却似乎没有任何人将为此负责,这也再次凸显个人信息保护立法立规的重要性。

 

(来源自:  新浪)

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号