苹果回应XcodeGhost事件:公布25个受感染应用
- 发布时间:2015-09-24 09:33:34 来源:中国网财经 责任编辑:汤婧
中国网科技9月24日讯 满城风雨的“XcodeGhost事件”有了官方解释,苹果公司今天为上线专题页面对外告知此事,并列出25款受牵连应用。
页面中,苹果正式对外解释此事的缘由及处理方式,并列出了25款受感染应用,它们中大多已经重新更新上架,也有一些暂时被下架,等待更新去除安全隐患之后再上架。
以下为苹果对 XcodeGhost 的问题和解答
我听说了由 XcodeGhost 开发的恶意 app — 这是怎么回事?
我们一直建议开发者使用由我们提供的免费、安全的工具,包括 Xcode,从而确保他们为 App Store 的用户开发出安全的 app。一些开发者下载了已被恶意软件感染的盗版 Xcode,由此开发的 app 也同样受到感染。
Apple 特意使用诸如 Gatekeeper 等技术,以防止安装从非 App Store 渠道下载的应用程序,和 / 或安装包括 Xcode 在内的未签名的应用程序。当开发者为了能安装类似 XcodeGhost 等恶意程序时,这些保护措施会被刻意地禁用。
作为 Apple 向开发者提供的业界先进工具之一,以下措施可以确保软件未被篡改:
•Xcode app 有 Apple 的代码签名。
•从 Mac App Store 下载 Xcode 时,开发者的电脑系统对 Xcode 的代码签名自动进行检查和验证。
•从 Apple Developer Program 网站下载 Xcode 时,只要 Gatekeeper 没有被禁用,默认开发者的电脑系统对 Xcode 代码签名自动进行检查和验证。
为什么开发者会不顾用户的安全下载盗版软件?
为了更快下载我们的开发者工具,开发者有时会从其他非 Apple 站点搜寻。我们正努力让中国的开发者可以用更快的速度下载 Xcode beta 版。为了验证自己的 Xcode 没有被更改,他们可以通过 developer.apple.com 列出的步骤进行验证。
这会对我有什么影响吗?如何得知我的设备是否受到了影响?
我们目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的用途上。
我们目前没有看到任何客户个人身份信息受到影响,而且代码无法通过用户身份请求来获取 iCloud 或其他服务的密码。
只要一经发现这些 app 有可能通过恶意代码开发,我们就对其进行下架处理。开发者们正在快速更新他们的 app,以便用户使用。
恶意代码只能提供一些基本信息,比如 app 和一般系统信息。
从 Apps Store 下载 app 是否安全?
我们已将由该盗版软件开发的 apps 从 App Store 中撤下,并拦截了通过该恶意软件开发的新 app 进入 App Store。
我们正与开发者紧密协作,以确保受到影响的 app 尽快回到 App Store 供用户使用。
我们在此页面列出受到影响的前 25 个 apps。除受影响的前 25 个 apps 外,受影响的用户数量已显著减少。
如果用户已安装其中的 apps,他们可以通过在设备上运行更新解决存在的问题。如果 app 已经在 App Store 上线,则表明已经更新完毕;暂未上线的 app 将很快完成更新。