menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

基金

獨家專訪蘋果高管:解讀Xcode事件關鍵問題

鉅亨網新聞中心 2015-09-22 21:12


導語:蘋果公司全球市場營銷高級副總裁菲爾·席勒今天電話連線新浪科技 ,在這半小時裏,他都了什麼?

北京時間今天下午1點15分,蘋果公司的全球市場營銷高級副總裁菲爾·席勒(Phil Schiller)在美國電話連線新浪科技,就上周“XCodeGhost木馬感染事件”接受專訪,同時回答了一些與本次事件有關的關鍵問題。


此前,很多新聞事件發生后,這家總部遠在庫比蒂諾的公司通常會用自己的方式和節奏解釋一切,但本次事件,公司高級副總裁在晚上10點親自出馬,可以看出他們對此事的重視。

XcodeGhost事件始末

Xcode是蘋果公司官方出品的開發工具,運行在作業系統Mac OS X系統上,是目前開發Mac OS和iOS應用程序的最普遍的方式,從某種意義上,它是蘋果引以為傲的生態系統的根基。

這也正是席勒如此在意本次事件,並親自接受專訪的原因。

因為伺服器在國外,中國大陸的開發者從官方渠道下載Xcode並不容易,席勒在電話中也特意談到了這點:“在美國下載它只需要25分鐘,中國可能需要3倍時間。”

於是中國的部分開發者不得不通過一些非官方渠道下載,這點導致部分開發者下載到了“山寨版Xcode”,其中含有XcodeGhost病毒。用山寨版工具編譯出的應用被注入第三方代碼,並上傳到了蘋果App Store應用商店,導致一般用戶下載了被感染的的應用。

席勒稱,蘋果公司一直建議開發者們用安全的開發工具來開發程序;並且有Gatekeeper及相關簽名驗證機制防護。但在這次山寨應用的進入、以及Gatekeeper被關閉,幾個因素放在一切,造成了XcodeGhost事件。

針對開發者的改進方式

因為伺服器緣故,Xcode下載難的問題一直存在,但這次事件讓蘋果印象深刻。

席勒並沒迴避問題,在電話中他提到,蘋果公司正在對已經發生問題進行處理,這包括針對開發者和一般用戶等各方面的措施。

具體到開發者方面,蘋果要做的依然是從最開始杜XcodeGhost事件再次發生,席勒確定蘋果將把Xcode開發工具的下載從國外放到國內。

“完美的蘋果”出問題了嗎?

因為封閉的系統,以及軟件與硬件的緊密結合,蘋果公司一向被人們認為是安全的典範。

但這次,是蘋果的審核機制出問題了嗎?

席勒坦誠“沒有完美的系統,但是蘋果一直在進步。每次我們經歷一些,就能繼續進步,這個事件也是如此。這次我們學到了很多。” 蘋果也在不斷提升自己。

就現在來,蘋果構建的一整套安全機制依然有效,如果上架審核漏過了,就快速對受感染應用下架,並在之后聯繫了開發者,請他們用正版Xcode開發應用併進行更新。本次的處理流程也是這樣。

用戶如何知道他們是否受到影響?

蘋果在近期會公佈已經感染的25款應用名單,列在蘋果中國官網(apple.com/cn),讓用戶查看和比對,如果在此前已經下載,一般用戶只要更新到最新版本的應用即可。

除了這25個應用之外受影響的用戶數量顯著下降。

一般用戶該注意些什麼?

在今天採訪之前,新浪科技已經對“XcodeGhost事件”做了全面解讀。在那篇文章中我們提到:對於iOS用戶來,首先不必太過慌張。XcodeGhost病毒目前只會上傳品自身的部分基本信息(安裝時間,應用ID,應用名稱,系統版本,語言,國家)等,不會涉及到個人信息。

另外,感染製作者的伺服器已關閉,已經不構成實質上的信息泄露。在與席勒的談話中,他也確認“目前沒有任何信息表明這些惡意軟件與任何惡意事件相關或傳播了任何個人身份信息。”

新浪科技在電話採訪后向一些開發求證,因為蘋果優秀的“沙盒”機制,XcodeGhost的影響力有限,不會導致用戶信息泄露,當然特別是在你的設備沒有越獄的情況下。

當被問及傳言所 XcodeGhost 開發的應用是否也會對非越獄的設備發起諸如釣魚之類的攻擊時,席勒“根據蘋果的調查,目前此類事情尚未發生。”

蘋果從這次事件中學到了什麼?

蘋果公司不對外界未來的事,即便偶爾有只言片語,也不會透露具體時間。

這次持續半小時的談話中,席勒仍沒有給出確定的時間表,但他非常強調已經在快速行動,所有行動正在按部就班舉行,后續處理“已經以小時來計算,而不是天”。唯一還需要多一點的時間的是將Xcode的下載放到本地的伺服器上。

就像前文所,蘋果也並非完美,但一直嘗試改進使自己完美。通過這次事件,蘋果也從中學到很多,避免未來發生類似情形。

關於本次事件的全部過程,歡迎查看新浪科技的。

(曉光)

文章標籤


Empty