展會信息港展會大全
導讀:文/盧鑫 本周各大媒體的科技頭條又被蘋果給霸占了,倒不是因為這家公司發(fā)布了什么新產(chǎn)品,而是因為XcodeGhost感染門事件持續(xù)發(fā)酵,一時間讓不少人對一向以安全性自居的蘋果突然有了一個新的認識。 事實上,蘋果挺冤的XcodeGhost雖不能說與蘋果無關(guān)系,但也確...

XcodeGhost事件后 我們?nèi)绾吻蟀踩?/></p> <p>文/盧鑫</p> <p>本周各大媒體的科技頭條又被蘋果給霸占了,倒不是因為這家公司發(fā)布了什么新產(chǎn)品,而是因為“XcodeGhost感染門”事件持續(xù)發(fā)酵,一時間讓不少人對“一向以安全性自居”的蘋果突然有了一個“新的認識”。</p> <p>事實上,蘋果挺冤的——XcodeGhost雖不能說與蘋果無關(guān)系,但也確實不是因為產(chǎn)品的漏洞所致。只不過,全球市值最大的公司是事件當事者之一,同時全球規(guī)模最大的移動市場又恰好因為“國情”而成為了重災區(qū)……如此的組合效應必然能讓媒體熱情空前高漲,關(guān)注度自然也蓋過了黃牛瘋搶iPhone 6s的消息。</p> <p>于是,小編借題發(fā)揮一下,就著這次的“XcodeGhost感染門”,在本期的《易評》中為大家普及一堂“提高網(wǎng)絡(luò)、信息安全意識”的課——即便你不是蘋果的用戶,但“信息安全”是一個廣泛涉及每一個人的話題,尤其考慮到未來的汽車、家電甚至門窗都可能通過網(wǎng)絡(luò)被控制,一個基本且謹慎的自我保護意識(網(wǎng)絡(luò)和信息安全領(lǐng)域)顯得尤為必要。</p> <p>既然話題從XcodeGhost引出,我們就先解釋一下這究竟是什么個東西。</p> <p>簡單說,任何人想要給蘋果的產(chǎn)品開發(fā)軟件應用,就必然要使用到一個工具,即Xcode。這個工具可以通過蘋果官方渠道免費下載,但也可以通過第三方下載平臺下載,譬如太平洋軟件下載中心、華軍軟件園、迅雷以及百度云盤等等(國外有softpedia等網(wǎng)站)……</p> <p>從蘋果官網(wǎng)下載的Xcode,當然是“原汁原味”。然而通過其他第三方平臺下載的,尤其是個人用戶通過迅雷和百度云所分享的Xcode,就很難保證是否被動過手腳了。</p> <p>而這一次所謂的“XcodeGhost感染門”,正是有“分享者”對原裝的Xcode做了修改,讓一款本來能正常“生產(chǎn)”軟件的工具,“病變”成為了“只能產(chǎn)出畸形胎兒的母體”——這好比對一位母親進行DNA破壞,讓其新生兒先天性的“繼承”遺傳疾病一樣。</p> <p>因為被修改過的Xcode在功能上與原裝Xcode并無異,因此一般用戶,即使是有“技術(shù)宅”之美稱的開發(fā)者們,也很難有所察覺。</p> <p>那么,既然是“病毒”,是“惡意代碼”,安裝防毒軟件不就解決了嗎?非也!</p> <p>防毒軟件不是萬能的;防毒軟件永遠都是追在病毒后面跑的;有一些像是安全漏洞的代碼,防毒軟件是查不到的!</p> <p>也許一些網(wǎng)友會不太認同小編的說法,那么接下來小編就大致解釋一下防毒軟件的運行機制,為自己的論點做一個論證。</p> <p>防毒軟件,或者說殺毒軟件,單從字面就能看出是以“防護”為目的而設(shè)計的。“防護”是一種被動手段,需要等待對手的主動出擊,才能有所發(fā)揮。</p> <p>這里的“對手”是誰呢?病毒的制造者、黑客們——少則數(shù)以萬計,多則數(shù)以百萬計。沒有人知道他們是誰,會在什么時候、什么地方出現(xiàn),也無法預測他們會使用的編程語言,以及會利用的安全漏洞和傳播方式。正所謂“敵暗我明”,因此只能“順勢而為”。</p> <p>當然,也有所謂的“主動防御,主動查殺”技術(shù),但這種防毒引擎通常都只能根據(jù)程序的行為來進行判定,譬如在系統(tǒng)后臺可疑的搜集信息或串改系統(tǒng)文件等。可是并非所有的惡意代碼都具備這樣的特征,至少XcodeGhost就不需要這么做。我們甚至還可以換個角度來思考,如果“主動防御”真那么有效,防毒軟件還需要每天好幾次的更新病毒庫干嘛?</p> <p>所以,小編并不是在刻意詆毀防毒軟件的價值,只是想強調(diào)——過分從心理上依賴它們,并不能獲得一個真正的安全。這就如同我們的身體,不可能總是依靠藥物來維持健康。要想獲得真正的健康,就必須有意識地主動去避免給病毒入侵我們的機會。</p> <p>這種主動避免提供機會的行為,在信息安全領(lǐng)域可具體表現(xiàn)為:</p> <p>不使用盜版——小編知道有“國情”在,但是如今開源越來越盛行,很多優(yōu)秀的商業(yè)軟件其實都已有了對應的開源替代品,譬如很多人在用的虛擬機軟件VMware Workstation,其開源替代品為VirtualBox。前者售價250美元,后者完全免費。至于孰優(yōu)孰劣,則仁者見仁智者見智?傊,在小編的實際使用中,并沒有感覺到免費的VirtualBox有任何功能性的不足。</p> <p>不授予程序不必要的權(quán)限——這本來是Linux操作中最基礎(chǔ)的概念,但如今隨著智能手機廣泛普及,其重要性已經(jīng)被提升到了必須要讓每一個用戶都銘記在心的地位。就以使用人數(shù)最多的Android系統(tǒng)為例,安裝一款離線游戲應用,竟然會要求獲得訪問聯(lián)系人名單的權(quán)限。而面對這樣無理的要求,又有多少人會選擇拒絕?</p> <p>不訪問可疑的網(wǎng)站,尤其不在陌生網(wǎng)站上填寫賬號信息——“恭喜您贏得大獎!請訪問xxx.com填寫兌獎信息……”這只是小編隨便舉的例子,目的是想說,這個xxx.com請務(wù)必要看清楚了!譬如:163.com和163.com.cn是不一樣的,而apple.com和app1e.com就更加不同了!</p> <p>不主動運行陌生應用——有時候,我們的電腦或者手機里會莫名其妙地裝入一些不認識的應用程序,請不要因為好奇而打開來看看。如果光看名字就不認識,那就不要點擊了。如果能刪除,則更應該在第一時間就將其給除掉。至于要問為什么這些軟件會在“不知情”的情況下入駐我們的設(shè)備?拋開“預裝”的情況不談,剩下最大的可能就是在運行(或安裝)某個程序時沒有仔細看清每一個環(huán)節(jié),從而連帶安裝了不需要的東西。</p> <p>不要不假思索地就將個人信息透過聊天工具發(fā)送出去,即使對方是“認識的人”——首先,不通過視頻或者音頻通話,甚至都無法確定這個“認識的人”就是其本人。如此貿(mào)然地將個人信息發(fā)了過去,難免有朝一日要成為詐騙集團的受害者之一。此外,即便能證明“兒子就是兒子”、“爹就是爹”,也無法保證聊天工具或者WiFi網(wǎng)絡(luò)的背后是安全的(有沒有人正在竊聽?)。不是小編偏執(zhí)狂,在公共WiFi環(huán)境下(有密碼或者沒有密碼)想要通過“抓包”手段竊取其他聯(lián)網(wǎng)用戶的信息實在是太容易了。Github上就有大量現(xiàn)成的工具可用,甚至還有一個叫K*** Linux的發(fā)行版,就是專門用以“測試安全隱患”的(小編用*號略去名字,主要是不想散播不和諧的內(nèi)容)。</p> <p>不要從非官方渠道下載工具——這里主要指QQ、XXX播放器、iTunes一類的軟件。這些軟件既然已經(jīng)免費,我們就應該盡可能從官方的渠道下載獲得。當然,這次釀成大錯的Xcode是因為官方下載速度極慢,所以才迫使開發(fā)者轉(zhuǎn)而使用國內(nèi)的“云盤”分享。出現(xiàn)這種被迫從第三方渠道下載內(nèi)容的情況,我們就更應該多長一個心眼,至少在下載完成后比對一下文件的“哈希值”。蘋果沒有為Xcode工具提供官方“哈希值”(蘋果的過失),所以小編用微軟MSDN網(wǎng)站上的Office 2016 Pro Plus作為例子,來解釋一下如何利用這個常見的加密數(shù)字:</p> <p><img class=贊助本站

相關(guān)熱詞: XcodeGhost 蘋果 惡意代碼

相關(guān)內(nèi)容
AiLab云推薦
最新資訊
本月熱點
熱門排行
馬斯克的xAI連發(fā)兩款新模型,有進步但還談不上領(lǐng)先

閱讀量:90859

從現(xiàn)在起,GitHub上超1億開發(fā)者可直接訪問全球頂級大模型,構(gòu)建AI應用

閱讀量:18357

AI創(chuàng)投的那些荒誕故事

閱讀量:16038

AI時代,超級個體正在崛起

閱讀量:14183

阿里團隊推出 Tora 視頻 AI 生成框架:畫圈操控物體運行軌跡

閱讀量:13618

北大國發(fā)院院長黃益平:人工智能的發(fā)展會緩解老齡化對經(jīng)濟的沖擊

閱讀量:13181

推薦內(nèi)容
展開

熱門欄目HotCates

Copyright © 2010-2024 AiLab Team. 人工智能實驗室 版權(quán)所有    關(guān)于我們 | 聯(lián)系我們 | 廣告服務(wù) | 公司動態(tài) | 免責聲明 | 隱私條款 | 工作機會 | 展會港