映象新聞

　　未越獄（或者說破解）的iPhone/iPad也不是百分百安全的。

　　美國當?shù)貢r間9月20日，蘋果公司首次確認有黑客對App Store發(fā)起大規(guī)模攻擊，目前正在清理應用商店中的惡意App，漏洞原因則是“開發(fā)者基于非信任渠道發(fā)布的工具開發(fā)的App有可能對用戶安全造成威脅。”

　　蘋果公司的iOS系統(tǒng)向來以“封閉而安全”著稱，它沒有安卓五花八門的應用市場，下載軟件只能通過官方的App Store進行。越獄（或者破解）之后的蘋果設備則可以繞開蘋果構筑的這層防線，允許用戶下載非App Store中的應用，免費下載一些原本收費的App，但同時也帶來巨大的安全隱患，因為這些App可以輕而易舉地獲取更高的操作權限，從而控制手機。

　　蘋果官方App Store遭受攻擊源于9月18日中國漏洞報告平臺烏云網(wǎng)公布的一則分析報告：XCode編譯器里有鬼。

　　據(jù)報告，有些程序員使用了非蘋果官方、第三方渠道下載Xcode編譯器，這些編譯器編寫的App存在安全問題，當這些App上傳至App Store并被用戶下載安裝后，它們會偷偷上傳軟件包名、應用名、系統(tǒng)版本、語言、國家等基本信息，還會在手機上彈出釣魚網(wǎng)站頁面，可能騙取iCloud帳號密碼，或者其他關鍵信息。

　　Xcode是運行在操作系統(tǒng)Mac OS X上的集成開發(fā)工具，由蘋果公司開發(fā)。

　　“由于中國開發(fā)者上蘋果官網(wǎng)下載XCode十分緩慢，一些開發(fā)者就通過第三方渠道進行了下載。”獵豹移動安全分析師李鐵軍告訴澎湃新聞。

　　根據(jù)獵豹的監(jiān)測，受影響的App可能有30多款，包括微信、網(wǎng)易云音樂、網(wǎng)易公開課、我叫MT、同花順、南京銀行、南方航空、中信銀行行動卡空間、名片全能王、憤怒的小鳥2等等比較熟知的應用。

　　另據(jù)安全公司360的監(jiān)測，受影響的App超過344款，涉及用戶達到1億。這些App包括12306、滴滴出行、高德地圖、同花順等應用。

　　騰訊公司9月18日確認在微信6.2.5版本存在漏洞，目前App Store已更新到6.2.6版本，目前尚未發(fā)現(xiàn)用戶因此造成信息或財產(chǎn)的損失。

　　網(wǎng)易公司、滴滴快的公司也相繼確認問題App，并表示目前更新的最新版本是安全的。

　　“以往人們普遍認為，只要不越獄，只從官方應用市場下載軟件，iPhone/iPad就是安全的。現(xiàn)在，這個神話破滅了。開發(fā)工具中做手腳 ，可能騙過那些聰明的程序員，在編譯自己的應用時，把有害代碼加進去，威脅用戶數(shù)據(jù)安全。甚至這種攻擊方式繞過了AppStore的安全審核機制，使得官方商店的防護也不如以往那樣可信。”李鐵軍表示。

　　網(wǎng)絡安全公司Palo Alto Networks指出，在此次攻擊之前，蘋果應用商店只發(fā)現(xiàn)了5款病毒應用。

　　李鐵軍同時表示，相比之下，最近安卓手機感染的病毒“幽靈推”才是真正可怕的，每天有超過60萬臺設備中毒。受害用戶集中在美國、印度、中國等等。該病毒隱藏在“會說話的湯姆貓3”等流行應用中，獲取系統(tǒng)最高權限，中毒手機會被惡意扣費，安裝間諜軟件竊取隱私。