信任危机：苹果APP也会被黑？

在外界印象里，封闭的系统生态和严格的审查制度，使得苹果设备似乎有天然防御危机的屏障。但事实上，苹果的安全防御机制比想象的更加脆弱。

2013年，只用了不到30秒，国内白帽子团队KeenTeam就远程破解了当时苹果较新的操作系统iOS7.0.3，获取了该手机中的照片。2014年纽约举办的黑客大会上，安全专家乔纳森·扎德尔斯基展示了如何利用存在于iOS后台的“后门”服务，从iPhone中提取出大量数据。

安全领域从业人员快速次破解苹果成为展现技术较好凭证，但对普通用户来说，较近快速起广泛关注的是9月18日。当天，漏洞报告平台乌云网和硅谷安全公司Palo Alto均发布安全预警，苹果应用商店上架的网易音乐云等应用被注入第三方恶意代码，用户信息或早泄露。

iOS开发者和安全行业人士开始纷纷查找受影响的App。腾讯安全应急响应中心日后披露，其曾发现AppStore中已有76款应用被感染。

Twitter用户（爱微创想iOS开发主管）爆料称，受影响的App已蔓延至火车订票应用12306和中信银行卡动卡空间。一时间，网络流传出多种安全解读和提醒，猎豹移动安全专家甚至提醒用户考虑修改密码和支付方式。

事情的转机出现在19日上午。一个名为“XcodeGhostSource”的账号在代码退管网站GitHub发布“关于所谓‘XcodeGhost’的澄清”一文中称，恶意代码源自个人实验，因10天前已关闭服务器，并删除所有数据，已消除影响。不过，腾讯科技浏览发现，该账号为新注册账号，注册时间为2015年9月19日。

有业内人士告诉腾讯科技，该作者并不希望被外界知道其身份。也正因为此，这份澄清声明的真实性引发业界热议。不过，这一声明获得多个安全领域专家转发。

然而，危机尚未解除。有业内人士回忆，Unix之父Ken Thompson在获得图灵奖发表感言时曾称，在编译Unix代码的C编辑器里留有“后门”。苹果iOS操作系统是属于类Unix操作系统。该业内人士提醒，在对此次事件分析时发现，借助这一漏洞，黑客在获得远程控制权限后，可以向“中标”手机下发任意指令。

腾讯安全应急响应中心称，9月16日已向苹果官方同步应用被感染情况。

9月19日，苹果向被感染手机程序开发者发出下架通知，建议手机程序编写者下载正版开发工具，重新编译相关程序后上传至AppStore。

以越狱出名的盘古团队也在当日发布了一款XcodeGhost检测工具。该团队称，已检测到超过800个不同版本的应用受到感染。不过，该消息未能得到苹果或第三方证实。

与以往恶意程序自身携带病毒不同，这次安全事件中，黑客先进次把恶意代码嵌入苹果应用开发的源头，欺骗对象转向开发者。对普通用户而言一旦使用了感染的App，其数据将上传至黑客指定网址，而一旦有App要求用户输入账户密码等隐私数据，隐藏在背后的灰色产业暴利相当惊人。

乌云平台已陆续曝出多起苹果系统级高危漏洞，在此次后门漏洞曝光过后，人们的确应当意识到，苹果并非永远安全的手机。

黑客利用设备信息可用于远程控制

代码分析结果显示，上报的信息包括App版本、App名称、本地语言、iOS版本、设备类型和国家码等信息。这些信息虽然不涉及到个人用户的隐私，但是可以有效地对不同的iOS设备进行区分。未经证实的前述声明也表示，其代码可以获取的只有App的基本信息。

这意味着，通过上报信息区分每一台iOS设备后，黑客可以通过iOS openURL这个API随时随地给任何人下伪协议指令。

“这时候黑客已经可以控制你的手机，达到他想要做的任何事情。”有安全专家向腾讯科技解释，“浏览网页、打电话发短只是较常见的功能，甚至可以对具备该伪协议的第三方App进行操作。”

不仅如此，黑客还可以控制弹出任何对话框，对用户进行诱导进行更进一步的安全危害。腾讯安全应急响应中心甚至发现，利用该恶意代码的漏洞甚至可以被中间人攻击。后者是一种黑客常用的古老攻击手段。

此外，腾讯安全应急响应中心还发现，除了已使用的上报域名地址“icloud-analysis.com”，此次还发现了其他三个尚未使用的域名。如果不是及时遏制，其影响范围可能进一步扩大。

开发者下载官方版本难引出黑产寻利

XcodeGhost被大规模发现之前。国家互联网应急中心曾在9月14日发布过预警通报。该通报称，检测中发现开发者使用了非苹果官方渠道的Xcode开发工具，而该工具中被植入恶意代码。

事实上，作为苹果官方开发工具，Xcode可以免费从应用商店下载。那么为什么有开发者选择了非官方渠道？

受访的多数苹果开发者告诉腾讯科技，原因只有一个，就是官方渠道下载速度非常慢。猿题库iOS开发工程师唐巧在社交网络上称，“每次下Xcode花个几十分钟非常正常，这才造成大家都用迅雷和百度网盘这种非官方渠道”。

互联网的云存储服务只是提供了一个更为方便的下载渠道。有消息称，此次安全危机的始作俑者的网名为“coderfun”，携带恶意代码的Xcode压缩文件上传至百度网盘后，将下载链接先后发布到多个开发者聚集的社区、下载站等。腾讯安全应急响应中心称，“coderfun”还是用了“Imznet”、“jrl568”等ID传播下载链接。

据悉，恶意代码被隐藏在了一个名为“CoreService.framework”的“系统组件”内，而官方下载的安装包并不存在这个目录和“系统组件”。

猎豹移动安全专家李铁军(微博)告诉腾讯科技，“黑产”希望通过收集用户信息，以便广告投放，后者存在利益空间。由于苹果限制比较多、审查比较严格，常用模式无法运行，因此只能从开发环节突破。尽管是有限的个人信息，但仍然有商业价值。

所谓“黑产”，就是指靠收集个人信息，出售个人信息牟利的一群人。

漏洞会引发苹果信任危机吗？

    事件发生后，几家涉事公司纷纷提出了自己的。腾讯选择了更新版本，并且在发现bug的第二天，即9月13日已完成替换。9月18日下午15时，网易云音乐通过社交网络发布公告解释了发生危机的原因。

尽管苹果较终在19日下架受感染应用，但李铁军表示，先进的方法是等待开发者重新发布安装包替换。用户可以选择卸载，或者等待升级更新。

但苹果在漏洞发生后一段时间的失语，让外界有了更多的猜测。随着自媒体的发酵以及更多的人加入讨论，该漏洞被更为深入地解读。虽然并未没有直接的证据指出，该漏洞会窃取与财产相关的个人账号信息，但由于此次“中招”App包括火车订票软件和银行软件，所以也有分析称，用户的财产安全或受到威胁。

一旦有App要求用户输入账号密码，这背后隐藏的灰色暴利将会相当惊人。中国漏洞库专家委员会蔡晶晶接受中央电视台采访表示，正常用户访问的快速点击广告的价值是1至2元人民币，一个亿用户量每个用户推送一个广告，我们知道背后的价值有多达，这就是传统意义上的黑色产业链。

截至虎网科技发稿时，中国市场并没有更进一步爆发新的安全事件，也没有相关信息和财产损失的报告 。多位受访安全人士判断，此次危机主要是对开发者发出了警告，敦促其避免使用来历不明的开发工具，相反对用户而言，影响并不大。

不过，也有分析人士指出，苹果消极对待，也没有对开发者和用户及时发出提醒，或使其声誉受损，甚至会造成更大的信任危机。

一分钟旅游新西兰多少钱(新西兰旅游小费标准？)

    新西兰旅游需要多少天？ 新西兰是位于大洋洲的一个国家国土面积一共25万平方公里人口一共580万左右首都是惠灵顿，新西兰是一个风景优美的国家，据悉在新西兰如果全国游遍大概需要15-30天左右。 要跟团去新西兰旅游10天左右，换多少新西兰元比？ 具体的费用要看是跟团还是自由行，跟团的话，要看是普通团还是高品质的团，自由行要看旅行的档次安排。一般去新西兰玩10天左右，人均花费是25000元的样子，普通团...

       西安网站建设行业原创文章都写些什么 网站建设公司的网站大都大同小异，我们有时候会看到很多网站的文章只是看标题就知道内容是一样的，似乎网站建设行业的文章很难写！在小编看来西安网站建设行业的文章体裁是较为广泛的！ *先从网站建设这个行业来分析，他主要包括以下几方面：网站制作、网站设计、网站程序制作以及网站优化、推广、营销... 单从他的服务项目范围就有很多题材可写了，比如网站制作！我们可以从页面的制作上遇到的问题来写，比如说兼容啦、js...

       揭阳普宁盛泰园林绿化和虎网站签下网站建设协议 盛泰是经揭阳市普宁市工商局审核的正规企业，统一社会信用代码：91445281MA516BMR05。同时经国家工信部和广东省通信管理局审核通过ICP备案；备案号：粤ICP备16100982号。盛泰处于揭阳市普宁市广太镇盛泰园林。盛泰选用虎网站企业商务型网站案例，其功能具备实用型所有配置外、特别值得关注的是增设了SEO深度优化，不管是内页还是标题都能够独立和个性化设置关键词和长尾词，更适合进行全站se...

       虎网网络总结百度的蜘蛛的抓取时间和收录时间 第一、百度蜘蛛的抓取时间 　　大家都知道整洁简单明了的网站有利于蜘蛛来抓取，但是大家知道蜘蛛的工资表吗?以下就是百度蜘蛛一周工作表。百度蜘蛛什么时间工作的，我们根据蜘蛛的工作情况应怎样安排自己的工作，以遍于取得更好的效果，以下就为您公布百度蜘蛛抓取收录工作时间表： 　　星期一:这天百度蜘蛛会在网站上面爬的很勤快，所以是我们更新文章的好时候，一般早上8-10点的时候更新文章最好。一般百度在周四会进行...

       网上商城制作怎么做体验 一般情况下商城对体验的要求都较高，这样才能在购物的过程中体会到，利于用户的成交率，因此对于商城网站来说客户体验都相当重要，那么网上商城制作怎么做体验呢？ 网上商城制作怎么做体验 　　一个好的客户体验商城才对得起访客，用户体验在于每个细节的设计制作，比如让人们通过各种方式随时可找到自己所需的产品，而不是找上半天还不熟悉产品的详细情况。商城的头部网页页面包含网站banner，标志，搜索栏和导航。将网站...

       单页面网站优化策略？ 1、注重TDK的写法。 　　 单页面和其他网站不一样，单页面要非常主要网站标题、关键词和描述的写法。标题上，要做到简单明了，包含主要关键词，一句话来概括全文；描述上来讲，一句话或一小段文字来体现你整个文章的精髓，内容比标题更加详细；关键词，关键词要和文章内容有相关性。 　　2、外链锚文本的多样化。 　　在外链的设计上，要注意内容不要太过单一，这样会导致网站过度优化，对优化SEO来说是很不好的。 　...