网易首页 > 网易数码 > 正文

[观点]XcodeGhost事件后 我们如何求安全

0
分享至
摘要:本周各大媒体的科技头条又被苹果给霸占了,倒不是因为这家公司发布了什么新产品,而是因为“XcodeGhost感染门”事件持续发酵,一时间让不少人对“一向以安全性自居”的苹果突然有了一个“新的认识”。事实上,苹果挺冤的——XcodeGhost虽不能说与苹果无关系,但也确实不是因为产品的漏洞所致。


文/ 网易科技 卢鑫

只不过,全球市值最大的公司是事件当事者之一,同时全球规模最大的移动市场又恰好因为“国情”而成为了重灾区……如此的组合效应必然能让媒体热情空前高涨,关注度自然也盖过了黄牛疯抢iPhone 6s的消息。

于是,小编借题发挥一下,就着这次的“XcodeGhost感染门”,在本期的《易评》中为大家普及一堂“提高网络、信息安全意识”的课——即便你不是苹果的用户,但“信息安全”是一个广泛涉及每一个人的话题,尤其考虑到未来的汽车、家电甚至门窗都可能通过网络被控制,一个基本且谨慎的自我保护意识(网络和信息安全领域)显得尤为必要。

既然话题从XcodeGhost引出,我们就先解释一下这究竟是什么个东西。

简单说,任何人想要给苹果的产品开发软件应用,就必然要使用到一个工具,即Xcode。这个工具可以通过苹果官方渠道免费下载,但也可以通过第三方下载平台下载,譬如太平洋软件下载中心、华军软件园、迅雷以及百度云盘等等(国外有softpedia等网站)……

从苹果官网下载的Xcode,当然是“原汁原味”。然而通过其他第三方平台下载的,尤其是个人用户通过迅雷和百度云所分享的Xcode,就很难保证是否被动过手脚了。

而这一次所谓的“XcodeGhost感染门”,正是有“分享者”对原装的Xcode做了修改,让一款本来能正常“生产”软件的工具,“病变”成为了“只能产出畸形胎儿的母体”——这好比对一位母亲进行DNA破坏,让其新生儿先天性的“继承”遗传疾病一样。

因为被修改过的Xcode在功能上与原装Xcode并无异,因此一般用户,即使是有“技术宅”之美称的开发者们,也很难有所察觉。

那么,既然是“病毒”,是“恶意代码”,安装防毒软件不就解决了吗?非也!

防毒软件不是万能的;防毒软件永远都是追在病毒后面跑的;有一些像是安全漏洞的代码,防毒软件是查不到的!

也许一些网友会不太认同小编的说法,那么接下来小编就大致解释一下防毒软件的运行机制,为自己的论点做一个论证。

防毒软件,或者说杀毒软件,单从字面就能看出是以“防护”为目的而设计的。“防护”是一种被动手段,需要等待对手的主动出击,才能有所发挥。

这里的“对手”是谁呢?病毒的制造者、黑客们——少则数以万计,多则数以百万计。没有人知道他们是谁,会在什么时候、什么地方出现,也无法预测他们会使用的编程语言,以及会利用的安全漏洞和传播方式。正所谓“敌暗我明”,因此只能“顺势而为”。

当然,也有所谓的“主动防御,主动查杀”技术,但这种防毒引擎通常都只能根据程序的行为来进行判定,譬如在系统后台可疑的搜集信息或串改系统文件等。可是并非所有的恶意代码都具备这样的特征,至少XcodeGhost就不需要这么做。我们甚至还可以换个角度来思考,如果“主动防御”真那么有效,防毒软件还需要每天好几次的更新病毒库干嘛?

所以,小编并不是在刻意诋毁防毒软件的价值,只是想强调——过分从心理上依赖它们,并不能获得一个真正的安全。这就如同我们的身体,不可能总是依靠药物来维持健康。要想获得真正的健康,就必须有意识地主动去避免给病毒入侵我们的机会

这种主动避免提供机会的行为,在信息安全领域可具体表现为:

不使用盗版——小编知道有“国情”在,但是如今开源越来越盛行,很多优秀的商业软件其实都已有了对应的开源替代品,譬如很多人在用的虚拟机软件VMware Workstation,其开源替代品为VirtualBox。前者售价250美元,后者完全免费。至于孰优孰劣,则仁者见仁智者见智。总之,在小编的实际使用中,并没有感觉到免费的VirtualBox有任何功能性的不足。

不授予程序不必要的权限——这本来是Linux操作中最基础的概念,但如今随着智能手机广泛普及,其重要性已经被提升到了必须要让每一个用户都铭记在心的地位。就以使用人数最多的Android系统为例,安装一款离线游戏应用,竟然会要求获得访问联系人名单的权限。而面对这样无理的要求,又有多少人会选择拒绝?

不访问可疑的网站,尤其不在陌生网站上填写账号信息——“恭喜您赢得大奖!请访问xxx.com填写兑奖信息……”这只是小编随便举的例子,目的是想说,这个xxx.com请务必要看清楚了!譬如:163.com和163.com.cn是不一样的,而apple.com和app1e.com就更加不同了!

不主动运行陌生应用——有时候,我们的电脑或者手机里会莫名其妙地装入一些不认识的应用程序,请不要因为好奇而打开来看看。如果光看名字就不认识,那就不要点击了。如果能删除,则更应该在第一时间就将其给除掉。至于要问为什么这些软件会在“不知情”的情况下入驻我们的设备?抛开“预装”的情况不谈,剩下最大的可能就是在运行(或安装)某个程序时没有仔细看清每一个环节,从而连带安装了不需要的东西。

不要不假思索地就将个人信息透过聊天工具发送出去,即使对方是“认识的人”——首先,不通过视频或者音频通话,甚至都无法确定这个“认识的人”就是其本人。如此贸然地将个人信息发了过去,难免有朝一日要成为诈骗集团的受害者之一。此外,即便能证明“儿子就是儿子”、“爹就是爹”,也无法保证聊天工具或者WiFi网络的背后是安全的(有没有人正在窃听?)。不是小编偏执狂,在公共WiFi环境下(有密码或者没有密码)想要通过“抓包”手段窃取其他联网用户的信息实在是太容易了。Github上就有大量现成的工具可用,甚至还有一个叫K*** Linux的发行版,就是专门用以“测试安全隐患”的(小编用*号略去名字,主要是不想散播不和谐的内容)。

不要从非官方渠道下载工具——这里主要指QQ、XXX播放器、iTunes一类的软件。这些软件既然已经免费,我们就应该尽可能从官方的渠道下载获得。当然,这次酿成大错的Xcode是因为官方下载速度极慢,所以才迫使开发者转而使用国内的“云盘”分享。出现这种被迫从第三方渠道下载内容的情况,我们就更应该多长一个心眼,至少在下载完成后比对一下文件的“哈希值”。苹果没有为Xcode工具提供官方“哈希值”(苹果的过失),所以小编用微软MSDN网站上的Office 2016 Pro Plus作为例子,来解释一下如何利用这个常见的加密数字:


加亮部分便是微软官方提供的SHA1值(哈希值的一种)。下载好的文件,利用哈希值工具检验,应该会得到一个完全一样的SHA1值。

上面说了很多个“不”,其实主要只想强调一点,即:作为使用者的你,必须要为自己的每一个操作负责,必须要三思而后行。

这确实不容易做到,并且会在日常生活中增加很多麻烦。可是,今天我们已经走到了一个信息技术高度发达的时代,如果没有培养一种良好的安全意识,生活愈是数字化、智能化,我们反而愈是将自己曝露于危险之中。尤其当家中的电器、门窗以及汽车都可以通过网络控制以后(物联网的终极表现),如果对于自己的所作所为仍然是“毫无概念”,恐怕未来的我们尚未等到被人工智能“征服”,就已经被黑客给“玩死”了……

这里小编随便举个例子,譬如买WiFi智能门锁的尝鲜型用户,你们真的了解这些设备的潜在安全风险吗?WiFi连接是否安全只是其一,这里包括了弱密码和WiFi加密技术等问题;智能门锁对应的手机端应用是其二,手机端的各种安全隐患就不多说了,总之很多需要考虑的方面;其三还有门锁的供电系统,也许很多人不会考虑到这一点——简单说,电子门锁通常分为NO(默认无电状态为开)和NC(默认无电状态为关)两种,而无论哪一种,设计上如果不够精密,还是很容易可以通过“电与磁的合理运用”而实现开锁的……

当然,小编略有些危言耸听,但本意是希望能唤起大家对信息安全的注意。这种自我保护意识应该从点点滴滴做起,不能借口“不是技术宅”、“不是我用的品牌”就漠不关心。“隐私”(私密数据)是每一个人都有的,从其他受害者身上学到保护自己的东西才是最重要。

相关推荐
热点推荐
全部涉案!陈戌源一家全部被查,妻子也被抓,儿子已从国外抓回

全部涉案!陈戌源一家全部被查,妻子也被抓,儿子已从国外抓回

元爸体育
2024-03-29 04:21:52
3月26日,Angelababy,还真被网友说中了!

3月26日,Angelababy,还真被网友说中了!

元气少女侃娱乐
2024-03-26 12:55:16
这是今年最恶心的“塌房”事件,没有之一!

这是今年最恶心的“塌房”事件,没有之一!

听风听你
2024-03-28 12:39:39
陪伴广州人38年的它,突然宣布结业!不到一天后遇戏剧性翻转……

陪伴广州人38年的它,突然宣布结业!不到一天后遇戏剧性翻转……

番禺台
2024-03-29 00:39:20
一文读懂李铁案:涉案总额超1.1亿!预计5月下旬宣判 或无期死缓

一文读懂李铁案:涉案总额超1.1亿!预计5月下旬宣判 或无期死缓

念洲
2024-03-28 21:26:36
普京:不会攻击北约成员国 但向乌克兰提供的F-16战机将被击落

普京:不会攻击北约成员国 但向乌克兰提供的F-16战机将被击落

花尔街之狼
2024-03-28 18:08:52
汪小菲晒钻戒宣布求婚成功:送女友Mandy价值百万的豪车

汪小菲晒钻戒宣布求婚成功:送女友Mandy价值百万的豪车

素素娱乐
2024-03-28 22:15:19
惊喜!赵丽颖冯绍峰甜蜜携子出行,破冰牵手机场照曝光

惊喜!赵丽颖冯绍峰甜蜜携子出行,破冰牵手机场照曝光

穷游天下的阿等
2024-03-29 00:02:00
追梦回应伊森挑衅!库里领导力遭NBA高层质疑:被指责管不住队友

追梦回应伊森挑衅!库里领导力遭NBA高层质疑:被指责管不住队友

罗说NBA
2024-03-29 05:49:23
女教师字体过于“幼态”,家长表示没眼看,我家孩子写得都比这好

女教师字体过于“幼态”,家长表示没眼看,我家孩子写得都比这好

红丽说教育
2024-03-28 14:19:26
抢饭、插队、打群架、红歌会、广场舞...豪华游轮上海首航,被老年团玩成海上农家乐

抢饭、插队、打群架、红歌会、广场舞...豪华游轮上海首航,被老年团玩成海上农家乐

脊梁in上海
2024-03-28 19:50:01
金·卡戴珊模仿坎耶·韦斯特的前妻的淫秽形象

金·卡戴珊模仿坎耶·韦斯特的前妻的淫秽形象

娱乐圈酸柠檬
2024-03-28 20:11:45
涉案1.2亿!李铁罪行:受贿7764万,当庭认罪,仍留着刘海

涉案1.2亿!李铁罪行:受贿7764万,当庭认罪,仍留着刘海

叶青足球世界
2024-03-28 21:19:39
人口回流开始了,这些省份十年首现负增长

人口回流开始了,这些省份十年首现负增长

每日经济新闻
2024-03-28 21:55:08
时代红利正在慢慢消失!天涯神贴

时代红利正在慢慢消失!天涯神贴

农人老寓
2024-03-28 14:16:22
戴尔要跑路了!一万多人被裁,中国区被曝裁员非常多

戴尔要跑路了!一万多人被裁,中国区被曝裁员非常多

爆角追踪
2024-03-28 16:46:09
最高层专门会见,别想了,风向就是转了

最高层专门会见,别想了,风向就是转了

视知产研院
2024-03-28 23:03:40
这可真是穷疯了,一大堆免费的东西,突然开始收费

这可真是穷疯了,一大堆免费的东西,突然开始收费

顾礼先生
2024-03-28 14:09:34
支持俄方的网友现在真的是欲哭无泪了

支持俄方的网友现在真的是欲哭无泪了

清晖有墨
2024-03-28 15:24:08
浙商创投创始合伙人华晔宇被情人举报后续:情人一审被判敲诈勒索获刑3年

浙商创投创始合伙人华晔宇被情人举报后续:情人一审被判敲诈勒索获刑3年

经济观察报
2024-03-28 16:01:14
2024-03-29 09:54:44

头条要闻

牛弹琴:菲方行动逼近临界点 中国向其释放强烈信号

头条要闻

牛弹琴:菲方行动逼近临界点 中国向其释放强烈信号

体育要闻

拒绝为国出战,他是足坛"天选打工人"

娱乐要闻

莱昂纳多与25岁新女友互相投喂超恩爱

财经要闻

展车撞人 投诉飙升 极氪该掰谁的手腕?

科技要闻

雷军:我们是卷王,建议BBA车主感受下时代

汽车要闻

混动增程双模式 长安UNI-Z售11.79万起

态度原创

数码
家居
艺术
健康
公开课

数码要闻

苹果Apple Watch新专利获批:配屏下摄像头,可拍照、追踪面部等

家居要闻

邂逅浪漫,注入柔性的法式基因

艺术要闻

艺术开卷|从闺阁、庭院到郊野,古画中的女性生活空间

早防早筛,远离肝硬化

公开课

30岁之前,你要学会的13件事情

无障碍浏览 进入关怀版
×