這幾天，蘋果的安全門事件可謂是沸沸揚揚。而之所以受到空前關注，其主要原因是曾經(jīng)在我們腦海中的一個安全“神話”被打破了。一直以來，大家心里總認為安卓系統(tǒng)是裸奔，蘋果系統(tǒng)則相對比較安全，只要用戶不要隨意越獄，基本上是可以忽略對安全問題的擔憂。結(jié)果這一神話卻被XCodeGhost這一木馬給打破了。這不僅激起了業(yè)內(nèi)的大討論，更吸引了大家的共同關注，畢竟蘋果的用戶量還是非常龐大的。

　　實際上，在9月14日，國家互聯(lián)網(wǎng)應急中心就已經(jīng)發(fā)布了“關于使用非蘋果官方Xcode存在植入惡意代碼情況的預警通報”；之后于9月17日，烏云網(wǎng)和硅谷安全公司PaloAlto發(fā)布安全預警并提醒開發(fā)者小心，并指出XCodeGhost雖然沒有非常嚴重的惡意行為，但是這種病毒傳播方式在iOS上還是首次；直到9月18日，由“XCodeGhost”事件所引發(fā)的蘋果安全門事件被證實，并且由相關的安全平臺對蘋果的APP進行了各種監(jiān)測、統(tǒng)計，幾乎可以用“全軍覆沒”來形容，覆蓋了我們常用的大部分APP，如微信、滴滴、高德、同花順、天涯、中信銀行、喜馬拉雅、南方航空等。

　　蘋果APP一旦被感染了病毒之后，其后果遠超出我們想象。黑客幾乎可以通過遠程的方式完成所有事情：打電話、發(fā)短信、打開第三方APP進行操作，甚至要想獲取用戶手機中的信息，或一些個人特殊愛好的照片，那都是輕而易舉的事情。那么這次蘋果的安全門事件到底是怎么發(fā)生的？

　　蘋果安全門到底是怎么發(fā)生的？

　　我們都知道蘋果AppStore里的各種應用都是由蘋果審核發(fā)布的，并且需要采用蘋果自家所提供的Xcode代碼進行開發(fā)，正是基于這兩方面的原因促使了蘋果系統(tǒng)相對于安卓的安全性能要高很多。而此時能夠?qū)μO果APP造成沖擊的機會只有兩方面：一是直接攻擊蘋果的IOS操作系統(tǒng)，而這樣做顯然并不明智，這就意味著告訴蘋果公司我在攻擊你，并促使蘋果公司做出保護措施；二是借助于APP的開發(fā)代碼，在開發(fā)代碼中植入相應的病毒，當開發(fā)者使用了這個代碼進行開發(fā)時，其后果當然就是等著中槍。按理說這種方式也很難成功，因為蘋果所發(fā)布的源代碼是在自己的服務器上，黑客們在這個環(huán)節(jié)的下手也很容易會被蘋果公司發(fā)現(xiàn)。

　　在這種高規(guī)格的封閉保護體系下，蘋果的安全門又是如何被制造出來的呢？那就是我們所賴以開發(fā)的源代碼被篡改過。也就是說目前國內(nèi)大部分的蘋果APP開發(fā)者所開發(fā)的Xcode源代碼并不是源代碼，而是被動了手腳的“原”代碼。這個問題與我們國內(nèi)AppStore的特殊狀況有關，經(jīng)常打不開，下載速度慢，是國內(nèi)版AppStore的常態(tài)。

　　這也就意味著國內(nèi)的開發(fā)者要想直接通過訪問蘋果公司的網(wǎng)站來獲取Xcode，這就變成了一件相對困難的事情，因為Xcode是一個具有幾GB的大容量源代碼，要想下載下來并非易事。于是就有人看到了這個“痛點”，在自己下載的原版Xcode上做了點小動作，也就是我們今天所看到的XcodeGhost木馬。之后將這個帶有XcodeGhost木馬的Xcode通過各種渠道發(fā)布到了國內(nèi)的各種平臺上供開發(fā)者下載。

　　蘋果APP的開發(fā)者通常是項目制的，不論是外包或是自行開發(fā)。接到了相應的開發(fā)項目之后，開發(fā)者為了快速完成任務，必然會找比較快捷的途徑選擇Xcode的源代碼，往往忽略了對這個源代碼的可靠性進行核實。與其說忽略了核實，倒不如理解為對于國內(nèi)的開發(fā)者來說根本難以核實，因為我們連真的都還沒見到過，何談問題的辨識。那么，當我們基于這種非源代碼所開發(fā)的APP應用，在開發(fā)完成的時候就已經(jīng)成為“病毒”攜帶者。

　　這到底是誰的問題？

　　面對這次事件的發(fā)生，顯然我們需要透過這次事件來思考到底是哪些環(huán)節(jié)出了問題，或者說到底是誰的責任導致了這樣一次安全門事件的發(fā)生，在我看來蘋果公司是問題的核心。

　　按理說，如果蘋果公司能夠也應該在對應用審核時多留個“心眼”，特別是對于來自于中國的應用，這次的問題就可以避免。當然我將這句話并不是詆毀我們這個民族，而是我們這個民族中總有一些人喜歡給自己人挖坑，喜歡給自己人抹黑，就如地溝油、三聚氰胺一樣。遺憾的是蘋果公司太“善良”，忽略了我們對其源代碼進行改造的能力，在最終APP進入AppStore的環(huán)節(jié)中缺失了對木馬病毒做更深入的檢查。

　　其次，蘋果公司沒有根據(jù)不同國家的國情來因地制宜完善他們的管理體系。表面上來看，蘋果公司非常清楚我們的國情以及我們的監(jiān)管體系，因為AppStore在中國本身就是一種本土化的AppStore，與境外的AppStore是有區(qū)別的，在國內(nèi)注冊的AppStore到了國外之后有很多應用程序是被禁止下載的。

　　但從這次事件來看，顯然從蘋果公司的角度來看，蘋果的重視程度更多的只是體現(xiàn)在銷售上，而在真正的市場體系層面，缺乏針對中國市場的針對性投入。在完整的生態(tài)構(gòu)建上，缺失了對開發(fā)者的關照。

　　凸顯物聯(lián)網(wǎng)時代的心病

　　蘋果這次的安全門事件凸顯的并不是蘋果本身的問題，而是即將到來的整個物聯(lián)網(wǎng)時代的問題。根據(jù)阿卡邁技術公司(AkamaiTechnologies, Inc.，以下簡稱：Akamai)發(fā)布的《2015年第二季度互聯(lián)網(wǎng)發(fā)展狀況安全報告》來看，在過去三個季度內(nèi)，DDoS攻擊量同比增長了一倍。2015年第二季度，盡管攻擊者傾向于發(fā)起不太強烈但持續(xù)時間較長的攻擊，但危險的大規(guī)模攻擊數(shù)量持續(xù)上升；12起攻擊的峰值流量超過了100 Gbps，5起攻擊的包轉(zhuǎn)發(fā)率峰值超過了50Mpps。只有極少數(shù)的企業(yè)能夠以一己之力承受住這樣的攻擊。

　　隨著物聯(lián)網(wǎng)時代的到來，當包括人在內(nèi)的萬物都智能化、數(shù)據(jù)化、云端化之后，當產(chǎn)品的價值由過去基于前端硬件本身的利益獲取轉(zhuǎn)向后端的數(shù)據(jù)挖掘進行實現(xiàn)時，必然將激發(fā)黑客市場。在智能硬件時代之前，我們的產(chǎn)品只是基于產(chǎn)品本身的硬件來思考其是否會發(fā)生質(zhì)量安全問題；但在智能硬件時代，產(chǎn)品硬件本身并不承載價值的核心，而只是價值的一個載體，大部分的價值將借助于軟件應用來實現(xiàn)、來挖掘。

　　這種價值被轉(zhuǎn)移之后，必然就會促使更多人關注軟層面的價值獲取。哪里有價值哪里就會有關注，這是商業(yè)社會中人在利益驅(qū)使下的一種本能。如何保障數(shù)據(jù)、信息安全，則是大數(shù)據(jù)時代的一大挑戰(zhàn)。而蘋果這次的事件可以說只是這個時代的一個縮影事件。

　　通過這次事件至少給了我們幾點啟示：一是對于系統(tǒng)、平臺服務商來說，沒有完美到無懈可擊的“安全”系統(tǒng)，只有一個階段的“安全”系統(tǒng)，要想維持系統(tǒng)的持續(xù)安全性，就必須不斷地在技術層面加強安全提升；二是各國政府需要在物聯(lián)網(wǎng)時代加強合作，盡快出臺相關的監(jiān)管法律法規(guī)，借助于法律法規(guī)來約束、降低“安全”風險；三是對各智能硬件領域廠家而言，我們今天都在借助于軟件層面，也就是各種APP的應用來實現(xiàn)智能化，來挖掘硬件產(chǎn)品本身的潛在價值，那么如何從自身的軟件、硬件層面來給安全增加一道防線，這將是2016年產(chǎn)品開發(fā)者的重點方向。