這幾天，蘋果的安全門事件可謂是沸沸揚(yáng)揚(yáng)。而之所以受到空前關(guān)注，其主要原因是曾經(jīng)在我們腦海中的一個(gè)安全“神話”被打破了。一直以來，大家心里總認(rèn)為安卓系統(tǒng)是裸奔，蘋果系統(tǒng)則相對(duì)比較安全，只要用戶不要隨意越獄，基本上是可以忽略對(duì)安全問題的擔(dān)憂。結(jié)果這一神話卻被XCodeGhost這一木馬給打破了。這不僅激起了業(yè)內(nèi)的大討論，更吸引了大家的共同關(guān)注，畢竟蘋果的用戶量還是非常龐大的。

　　實(shí)際上，在9月14日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心就已經(jīng)發(fā)布了“關(guān)于使用非蘋果官方Xcode存在植入惡意代碼情況的預(yù)警通報(bào)”；之后于9月17日，烏云網(wǎng)和硅谷安全公司PaloAlto發(fā)布安全預(yù)警并提醒開發(fā)者小心，并指出XCodeGhost雖然沒有非常嚴(yán)重的惡意行為，但是這種病毒傳播方式在iOS上還是首次；直到9月18日，由“XCodeGhost”事件所引發(fā)的蘋果安全門事件被證實(shí)，并且由相關(guān)的安全平臺(tái)對(duì)蘋果的APP進(jìn)行了各種監(jiān)測(cè)、統(tǒng)計(jì)，幾乎可以用“全軍覆沒”來形容，覆蓋了我們常用的大部分APP，如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。

　　蘋果APP一旦被感染了病毒之后，其后果遠(yuǎn)超出我們想象。黑客幾乎可以通過遠(yuǎn)程的方式完成所有事情：打電話、發(fā)短信、打開第三方APP進(jìn)行操作，甚至要想獲取用戶手機(jī)中的信息，或一些個(gè)人特殊愛好的照片，那都是輕而易舉的事情。那么這次蘋果的安全門事件到底是怎么發(fā)生的？

　　蘋果安全門到底是怎么發(fā)生的？

　　我們都知道蘋果AppStore里的各種應(yīng)用都是由蘋果審核發(fā)布的，并且需要采用蘋果自家所提供的Xcode代碼進(jìn)行開發(fā)，正是基于這兩方面的原因促使了蘋果系統(tǒng)相對(duì)于安卓的安全性能要高很多。而此時(shí)能夠?qū)μO果APP造成沖擊的機(jī)會(huì)只有兩方面：一是直接攻擊蘋果的IOS操作系統(tǒng)，而這樣做顯然并不明智，這就意味著告訴蘋果公司我在攻擊你，并促使蘋果公司做出保護(hù)措施；二是借助于APP的開發(fā)代碼，在開發(fā)代碼中植入相應(yīng)的病毒，當(dāng)開發(fā)者使用了這個(gè)代碼進(jìn)行開發(fā)時(shí)，其后果當(dāng)然就是等著中槍。按理說這種方式也很難成功，因?yàn)樘O果所發(fā)布的源代碼是在自己的服務(wù)器上，黑客們?cè)谶@個(gè)環(huán)節(jié)的下手也很容易會(huì)被蘋果公司發(fā)現(xiàn)。

　　在這種高規(guī)格的封閉保護(hù)體系下，蘋果的安全門又是如何被制造出來的呢？那就是我們所賴以開發(fā)的源代碼被篡改過。也就是說目前國(guó)內(nèi)大部分的蘋果APP開發(fā)者所開發(fā)的Xcode源代碼并不是源代碼，而是被動(dòng)了手腳的“原”代碼。這個(gè)問題與我們國(guó)內(nèi)AppStore的特殊狀況有關(guān)，經(jīng)常打不開，下載速度慢，是國(guó)內(nèi)版AppStore的常態(tài)。

　　這也就意味著國(guó)內(nèi)的開發(fā)者要想直接通過訪問蘋果公司的網(wǎng)站來獲取Xcode，這就變成了一件相對(duì)困難的事情，因?yàn)閄code是一個(gè)具有幾GB的大容量源代碼，要想下載下來并非易事。于是就有人看到了這個(gè)“痛點(diǎn)”，在自己下載的原版Xcode上做了點(diǎn)小動(dòng)作，也就是我們今天所看到的XcodeGhost木馬。之后將這個(gè)帶有XcodeGhost木馬的Xcode通過各種渠道發(fā)布到了國(guó)內(nèi)的各種平臺(tái)上供開發(fā)者下載。

　　蘋果APP的開發(fā)者通常是項(xiàng)目制的，不論是外包或是自行開發(fā)。接到了相應(yīng)的開發(fā)項(xiàng)目之后，開發(fā)者為了快速完成任務(wù)，必然會(huì)找比較快捷的途徑選擇Xcode的源代碼，往往忽略了對(duì)這個(gè)源代碼的可靠性進(jìn)行核實(shí)。與其說忽略了核實(shí)，倒不如理解為對(duì)于國(guó)內(nèi)的開發(fā)者來說根本難以核實(shí)，因?yàn)槲覀冞B真的都還沒見到過，何談問題的辨識(shí)。那么，當(dāng)我們基于這種非源代碼所開發(fā)的APP應(yīng)用，在開發(fā)完成的時(shí)候就已經(jīng)成為“病毒”攜帶者。

　　這到底是誰的問題？

　　面對(duì)這次事件的發(fā)生，顯然我們需要透過這次事件來思考到底是哪些環(huán)節(jié)出了問題，或者說到底是誰的責(zé)任導(dǎo)致了這樣一次安全門事件的發(fā)生，在我看來蘋果公司是問題的核心。

　　按理說，如果蘋果公司能夠也應(yīng)該在對(duì)應(yīng)用審核時(shí)多留個(gè)“心眼”，特別是對(duì)于來自于中國(guó)的應(yīng)用，這次的問題就可以避免。當(dāng)然我將這句話并不是詆毀我們這個(gè)民族，而是我們這個(gè)民族中總有一些人喜歡給自己人挖坑，喜歡給自己人抹黑，就如地溝油、三聚氰胺一樣。遺憾的是蘋果公司太“善良”，忽略了我們對(duì)其源代碼進(jìn)行改造的能力，在最終APP進(jìn)入AppStore的環(huán)節(jié)中缺失了對(duì)木馬病毒做更深入的檢查。

　　其次，蘋果公司沒有根據(jù)不同國(guó)家的國(guó)情來因地制宜完善他們的管理體系。表面上來看，蘋果公司非常清楚我們的國(guó)情以及我們的監(jiān)管體系，因?yàn)锳ppStore在中國(guó)本身就是一種本土化的AppStore，與境外的AppStore是有區(qū)別的，在國(guó)內(nèi)注冊(cè)的AppStore到了國(guó)外之后有很多應(yīng)用程序是被禁止下載的。

　　但從這次事件來看，顯然從蘋果公司的角度來看，蘋果的重視程度更多的只是體現(xiàn)在銷售上，而在真正的市場(chǎng)體系層面，缺乏針對(duì)中國(guó)市場(chǎng)的針對(duì)性投入。在完整的生態(tài)構(gòu)建上，缺失了對(duì)開發(fā)者的關(guān)照。

　　凸顯物聯(lián)網(wǎng)時(shí)代的心病

　　蘋果這次的安全門事件凸顯的并不是蘋果本身的問題，而是即將到來的整個(gè)物聯(lián)網(wǎng)時(shí)代的問題。根據(jù)阿卡邁技術(shù)公司(AkamaiTechnologies, Inc.，以下簡(jiǎn)稱：Akamai)發(fā)布的《2015年第二季度互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》來看，在過去三個(gè)季度內(nèi)，DDoS攻擊量同比增長(zhǎng)了一倍。2015年第二季度，盡管攻擊者傾向于發(fā)起不太強(qiáng)烈但持續(xù)時(shí)間較長(zhǎng)的攻擊，但危險(xiǎn)的大規(guī)模攻擊數(shù)量持續(xù)上升；12起攻擊的峰值流量超過了100 Gbps，5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50Mpps。只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。

　　隨著物聯(lián)網(wǎng)時(shí)代的到來，當(dāng)包括人在內(nèi)的萬物都智能化、數(shù)據(jù)化、云端化之后，當(dāng)產(chǎn)品的價(jià)值由過去基于前端硬件本身的利益獲取轉(zhuǎn)向后端的數(shù)據(jù)挖掘進(jìn)行實(shí)現(xiàn)時(shí)，必然將激發(fā)黑客市場(chǎng)。在智能硬件時(shí)代之前，我們的產(chǎn)品只是基于產(chǎn)品本身的硬件來思考其是否會(huì)發(fā)生質(zhì)量安全問題；但在智能硬件時(shí)代，產(chǎn)品硬件本身并不承載價(jià)值的核心，而只是價(jià)值的一個(gè)載體，大部分的價(jià)值將借助于軟件應(yīng)用來實(shí)現(xiàn)、來挖掘。

　　這種價(jià)值被轉(zhuǎn)移之后，必然就會(huì)促使更多人關(guān)注軟層面的價(jià)值獲取。哪里有價(jià)值哪里就會(huì)有關(guān)注，這是商業(yè)社會(huì)中人在利益驅(qū)使下的一種本能。如何保障數(shù)據(jù)、信息安全，則是大數(shù)據(jù)時(shí)代的一大挑戰(zhàn)。而蘋果這次的事件可以說只是這個(gè)時(shí)代的一個(gè)縮影事件。

　　通過這次事件至少給了我們幾點(diǎn)啟示：一是對(duì)于系統(tǒng)、平臺(tái)服務(wù)商來說，沒有完美到無懈可擊的“安全”系統(tǒng)，只有一個(gè)階段的“安全”系統(tǒng)，要想維持系統(tǒng)的持續(xù)安全性，就必須不斷地在技術(shù)層面加強(qiáng)安全提升；二是各國(guó)政府需要在物聯(lián)網(wǎng)時(shí)代加強(qiáng)合作，盡快出臺(tái)相關(guān)的監(jiān)管法律法規(guī)，借助于法律法規(guī)來約束、降低“安全”風(fēng)險(xiǎn)；三是對(duì)各智能硬件領(lǐng)域廠家而言，我們今天都在借助于軟件層面，也就是各種APP的應(yīng)用來實(shí)現(xiàn)智能化，來挖掘硬件產(chǎn)品本身的潛在價(jià)值，那么如何從自身的軟件、硬件層面來給安全增加一道防線，這將是2016年產(chǎn)品開發(fā)者的重點(diǎn)方向。