当前位置:首页 > 科技数码

xcodeghost 易评:XcodeGhost事件后 我们如何求安全

文/ 本站 卢鑫

本周各大媒体的科技头条又被苹果给霸占了,倒不是因为这家公司发布了什么新产品,而是因为“XcodeGhost感染门”事件持续发酵,一时间让不少人对“一向以安全性自居”的苹果突然有了一个“新的认识”。

事实上,苹果挺冤的——XcodeGhost虽不能说与苹果无关系,但也确实不是因为产品的漏洞所致。只不过,全球市值最大的公司是事件当事者之一,同时全球规模最大的移动市场又恰好因为“国情”而成为了重灾区……如此的组合效应必然能让媒体热情空前高涨,关注度自然也盖过了黄牛疯抢iPhone 6s的消息。

于是,小编借题发挥一下,就着这次的“XcodeGhost感染门”,在本期的《易评》中为大家普及一堂“提高网络、信息安全意识”的课——即便你不是苹果的用户,但“信息安全”是一个广泛涉及每一个人的话题,尤其考虑到未来的汽车、家电甚至门窗都可能通过网络被控制,一个基本且谨慎的自我保护意识(网络和信息安全领域)显得尤为必要。

既然话题从XcodeGhost引出,我们就先解释一下这究竟是什么个东西。

简单说,任何人想要给苹果的产品开发软件应用,就必然要使用到一个工具,即Xcode。这个工具可以通过苹果官方渠道免费下载,但也可以通过第三方下载平台下载,譬如太平洋软件下载中心、华军软件园、迅雷以及百度云盘等等(国外有softpedia等网站)……

从苹果官网下载的Xcode,当然是“原汁原味”。然而通过其他第三方平台下载的,尤其是个人用户通过迅雷和百度云所分享的Xcode,就很难保证是否被动过手脚了。

而这一次所谓的“XcodeGhost感染门”,正是有“分享者”对原装的Xcode做了修改,让一款本来能正常“生产”软件的工具,“病变”成为了“只能产出畸形胎儿的母体”——这好比对一位母亲进行DNA破坏,让其新生儿先天性的“继承”遗传疾病一样。

因为被修改过的Xcode在功能上与原装Xcode并无异,因此一般用户,即使是有“技术宅”之美称的开发者们,也很难有所察觉。

那么,既然是“病毒”,是“恶意代码”,安装防毒软件不就解决了吗?非也!

防毒软件不是万能的;防毒软件永远都是追在病毒后面跑的;有一些像是安全漏洞的代码,防毒软件是查不到的!

也许一些网友会不太认同小编的说法,那么接下来小编就大致解释一下防毒软件的运行机制,为自己的论点做一个论证。

防毒软件,或者说杀毒软件,单从字面就能看出是以“防护”为目的而设计的。“防护”是一种被动手段,需要等待对手的主动出击,才能有所发挥。

这里的“对手”是谁呢?病毒的制造者、黑客们——少则数以万计,多则数以百万计。没有人知道他们是谁,会在什么时候、什么地方出现,也无法预测他们会使用的编程语言,以及会利用的安全漏洞和传播方式。正所谓“敌暗我明”,因此只能“顺势而为”。

当然,也有所谓的“主动防御,主动查杀”技术,但这种防毒引擎通常都只能根据程序的行为来进行判定,譬如在系统后台可疑的搜集信息或串改系统文件等。可是并非所有的恶意代码都具备这样的特征,至少XcodeGhost就不需要这么做。我们甚至还可以换个角度来思考,如果“主动防御”真那么有效,防毒软件还需要每天好几次的更新病毒库干嘛?

所以,小编并不是在刻意诋毁防毒软件的价值,只是想强调——过分从心理上依赖它们,并不能获得一个真正的安全。这就如同我们的身体,不可能总是依靠药物来维持健康。要想获得真正的健康,就必须有意识地主动去避免给病毒入侵我们的机会。

这种主动避免提供机会的行为,在信息安全领域可具体表现为:

不使用盗版——小编知道有“国情”在,但是如今开源越来越盛行,很多优秀的商业软件其实都已有了对应的开源替代品,譬如很多人在用的虚拟机软件VMware Workstation,其开源替代品为VirtualBox。前者售价250美元,后者完全免费。至于孰优孰劣,则仁者见仁智者见智。总之,在小编的实际使用中,并没有感觉到免费的VirtualBox有任何功能性的不足。

不授予程序不必要的权限——这本来是Linux操作中最基础的概念,但如今随着智能手机广泛普及,其重要性已经被提升到了必须要让每一个用户都铭记在心的地位。就以使用人数最多的Android系统为例,安装一款离线游戏应用,竟然会要求获得访问联系人名单的权限。而面对这样无理的要求,又有多少人会选择拒绝?

不访问可疑的网站,尤其不在陌生网站上填写账号信息——“恭喜您赢得大奖!请访问xxx.com填写兑奖信息……”这只是小编随便举的例子,目的是想说,这个xxx.com请务必要看清楚了!譬如:163.com和163.com.cn是不一样的,而apple.com和app1e.com就更加不同了!

不主动运行陌生应用——有时候,我们的电脑或者手机里会莫名其妙地装入一些不认识的应用程序,请不要因为好奇而打开来看看。如果光看名字就不认识,那就不要点击了。如果能删除,则更应该在第一时间就将其给除掉。至于要问为什么这些软件会在“不知情”的情况下入驻我们的设备?抛开“预装”的情况不谈,剩下最大的可能就是在运行(或安装)某个程序时没有仔细看清每一个环节,从而连带安装了不需要的东西。

不要不假思索地就将个人信息透过聊天工具发送出去,即使对方是“认识的人”——首先,不通过视频或者音频通话,甚至都无法确定这个“认识的人”就是其本人。如此贸然地将个人信息发了过去,难免有朝一日要成为诈骗集团的受害者之一。此外,即便能证明“儿子就是儿子”、“爹就是爹”,也无法保证聊天工具或者WiFi网络的背后是安全的(有没有人正在窃听?)。不是小编偏执狂,在公共WiFi环境下(有密码或者没有密码)想要通过“抓包”手段窃取其他联网用户的信息实在是太容易了。Github上就有大量现成的工具可用,甚至还有一个叫K*** Linux的发行版,就是专门用以“测试安全隐患”的(小编用*号略去名字,主要是不想散播不和谐的内容)。

不要从非官方渠道下载工具——这里主要指QQ、XXX播放器、iTunes一类的软件。这些软件既然已经免费,我们就应该尽可能从官方的渠道下载获得。当然,这次酿成大错的Xcode是因为官方下载速度极慢,所以才迫使开发者转而使用国内的“云盘”分享。出现这种被迫从第三方渠道下载内容的情况,我们就更应该多长一个心眼,至少在下载完成后比对一下文件的“哈希值”。苹果没有为Xcode工具提供官方“哈希值”(苹果的过失),所以小编用微软MSDN网站上的Office 2016 Pro Plus作为例子,来解释一下如何利用这个常见的加密数字:

加亮部分便是微软官方提供的SHA1值(哈希值的一种)。下载好的文件,利用哈希值工具检验,应该会得到一个完全一样的SHA1值。

上面说了很多个“不”,其实主要只想强调一点,即:作为使用者的你,必须要为自己的每一个操作负责,必须要三思而后行。

这确实不容易做到,并且会在日常生活中增加很多麻烦。可是,今天我们已经走到了一个信息技术高度发达的时代,如果没有培养一种良好的安全意识,生活愈是数字化、智能化,我们反而愈是将自己曝露于危险之中。尤其当家中的电器、门窗以及汽车都可以通过网络控制以后(物联网的终极表现),如果对于自己的所作所为仍然是“毫无概念”,恐怕未来的我们尚未等到被人工智能“征服”,就已经被黑客给“玩死”了……

这里小编随便举个例子,譬如买WiFi智能门锁的尝鲜型用户,你们真的了解这些设备的潜在安全风险吗?WiFi连接是否安全只是其一,这里包括了弱密码和WiFi加密技术等问题;智能门锁对应的手机端应用是其二,手机端的各种安全隐患就不多说了,总之很多需要考虑的方面;其三还有门锁的供电系统,也许很多人不会考虑到这一点——简单说,电子门锁通常分为NO(默认无电状态为开)和NC(默认无电状态为关)两种,而无论哪一种,设计上如果不够精密,还是很容易可以通过“电与磁的合理运用”而实现开锁的……

当然,小编略有些危言耸听,但本意是希望能唤起大家对信息安全的注意。这种自我保护意识应该从点点滴滴做起,不能借口“不是技术宅”、“不是我用的品牌”就漠不关心。“隐私”(私密数据)是每一个人都有的,从其他受害者身上学到保护自己的东西才是最重要。

(本文主观性陈述仅代表小编个人意见,不代表本站观点)

1.《xcodeghost 易评:XcodeGhost事件后 我们如何求安全》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《xcodeghost 易评:XcodeGhost事件后 我们如何求安全》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/484215.html

上一篇

韩国色系漫画 网易创业Club(9.19—9.25)融资速递

下一篇

gg浏览器 27个谷歌Chrome浏览器使用技巧

苹果玫瑰金 苹果新款iPhone四种颜色:玫瑰金在列

苹果玫瑰金 苹果新款iPhone四种颜色:玫瑰金在列

【专题】2015,除了新iPhone苹果还将发布什么?本站讯 9月10日凌晨消息,苹果秋季产品发布会今天举行,本站进行了全程视频图文直播。新款iPhone有四种颜色。新款iPhone有四种颜色,传说中的玫瑰金在列,还有灰色、金色以及银色。(静之)...

iphone6plus摄像头维修 苹果发布iPhone 6 Plus摄像头模糊维修计划

iphone6plus摄像头维修 苹果发布iPhone 6 Plus摄像头模糊维修计划

本站讯8月22日消息,据科技媒体AppleInsider报道,苹果公司周五宣布,曾经历过摄影质量问题的iPhone6Plus消费者或将可得到免费维修。苹果表示,这个现象只存在于小部分用户中,该公司将为其免费更换问题组件。据了解,苹果的这项维修计划官方称为“iPhone6PlusiSight摄像头更换项目”,该项目适用于任何所持设备出现摄像头在取景...

苹果6换电池大概多少钱 苹果电池故障会有哪些反应 换个电池需要多少钱

苹果6换电池大概多少钱 苹果电池故障会有哪些反应 换个电池需要多少钱

现在使用苹果手机的人不计其数,虽然苹果的价格比较贵,但是其性能比较好,哪怕用上多久都不会出现卡机问题,但是唯一不足就是手机电池续航不好,很多用户放映说,自己购买的苹果手机很快就没电了,那么大家知道苹果电池故障会有哪些反应呢?还有要是换个电池需要多少钱呢?苹果更换电池需要多少钱 要是手机电池有故障,那么就得要换个电池,这样才有安全感,我们都知道市面...

苹果6s上市时间 外媒称iPhone 6S发布会和上市时间已确认

苹果6s上市时间 外媒称iPhone 6S发布会和上市时间已确认

本站讯7月5日,日前有可靠信息透露,新一代iPhone 6S的发售日期已经被确认,在9月18号。而苹果官方为iPhone 6S和iPhone 6S Plus准备的发布会也将在2015年9月11日举行。一位不具名的富士康内部员工也证实,富士康将成为新iPhone的主要代工厂商。我们还不知道苹果今年是否还会继续推出新一代的iPhone 6C,但iPh...

电信esim 苹果三星力劝运营商用e-SIM技术 弃用实体SIM卡

电信esim 苹果三星力劝运营商用e-SIM技术 弃用实体SIM卡

据《金融时报》报道,苹果与三星正在积极劝说运营商以配合研发和使用全新SIM卡标准。此类新型SIM卡将采用嵌入式技术(后称e-SIM),能让移动设备更方便地在不同运营商网络间进行切换。e-SIM在出厂时会被预装在设备里,由于本身并不锁定于某个运营商网络,因此用户可以自用的通过系统界面切换运营商服务,同时也不需要将SIM卡拿出和更换。e-SIM标准预...

iphone经销商 苹果更新授权经销商名单 京东在列

iphone经销商 苹果更新授权经销商名单 京东在列

本站讯 6月17日消息,近日,有媒体质疑京东未获苹果公司官方经销授权,记者从苹果中国官方网站查询得知,苹果公司目前已经更新了官方直接授权的线上经销商名单,京东在列,且具有包括Mac、iPad、iPhone、iPod、Beats在内的全线产品销售资格。京东通讯采销事业部相关负责人告诉本站,除了销售苹果公司授权的正品行货之外,京东还提供诸多特色服务。...

呀苹果 呀苹果A轮融资5000万美元 罗斯柴尔德家族参投

呀苹果 呀苹果A轮融资5000万美元 罗斯柴尔德家族参投

本站讯 6月18日消息,B2C保健品垂直电商”呀苹果”近日宣布完成5000万美元A轮融资,投资方包括华威国际资本(CID Group)及被称为金融投资豪门的罗斯柴尔德金融家族。这是罗斯柴尔德财团在华投资的第一个电商类项目。“呀苹果”是一家B2C保健品垂直电商,创立于2015年,主营全球知名品牌保健品。据介绍,“呀苹果”创始人佟欣曾带领团队为国内某...

mit智慧 MIT评选出世界上最具智慧50强公司 苹果榜上无名

mit智慧 MIT评选出世界上最具智慧50强公司 苹果榜上无名

本站讯6月21日消息,据福布斯新闻网报道,MIT近日评选出了世界上最聪明的50个公司,苹果公司居然名落孙山。对,就是名落孙山。如果果粉们觉得这个消息是天天霹雳,那么,这份名单上还有一个让他们更为大跌眼镜的消息。对,苹果公司在中国的竞争者(模仿者?)小米公司榜上有名,排名第三十位。支持一个后起之秀,而冷落一个业界巨擘,这是不是有几分失常?要不然,是...