细思极恐的xcode事件

Posted 2021-04-30 虚拟机

这几天研究了一下第三方xcodeghost事件，事件本身不难理解：由于某W让苹果官网下载变得非常缓慢，xcode在中国第三方渠道进行分发，这个第三方的版本被某人利用起来植入了一些恶意代码， 最终导致下载下来的开发者开发出来的app也存在恶意代码，从而影响到了用户。

目前来看xcode事件只是感染了上亿用户，暂时还没有引起大面积的危害，作为一个普通用户，你实在不放心的话可以在电脑端更改一些近期输入过隐私信息的app的登录密码，再等待手机客户端的更新。虽然大多数人这次并不需要太过担心，然而这可能是一个细思极恐的事情。

为什么要信任第三方渠道的工具

避免这个悲剧的发生其实很简单，要么你统一获取开发工具的渠道，要么只需要你验证一下你下载的工具的hash值就可以了，但是却没有人去做，甚至腾讯这样的大公司都不规范，现在实在难以想象这种随意会带来多大的灾难。大家只能烧香希望别出事了。

漏洞现在才发现？

这次事件是由一个著名程序员发现一些很奇怪的现象转发到安全圈而揭露扩大的，如果没有这个巧合，我们还要被蒙蔽多久呢？ 也许某天你的支付软件客户端提示你重新登录，你不假思索地输入密码，然后也许就莫名其妙被盗号了。

比起服务器后门，用第三方开发工具来放置后门实在是太容易让人中招了。记得以前就有伪putty事件，带后门的putty让你直接把SSH密码交出去了。我还有见过vsftp甚至可以黑掉官网去把官网的下载版给替代了，这就更为夸张了。带后门的开发工具只要欺骗了部分程序员，再绕过审核，那么就可能引起一些应用的不安全，而应用分发到可能动辄数百万甚至数千万，覆盖面积是很大的。

这绝不是一个结束，只是一个开始

于是我相信xcode事件，从漏洞暴露来说，只会是一个开始，因为必然已经有多重非官方的开发工具被互联网公司大量使用， 想想中国有多少人购买正版的itelljidea？ webstorm？ coda？ sublime text？ 说不定就去哪下载一个，可能就会带来安全隐患。 更不要说我大安卓江湖， 那个混乱程度可是全面碾压苹果。 这样大规模地使用不安全的开发工具带来的结果就是开发的应用不安全，分发到用户头上也不安全， 没有什么是安全的了。