（文／3sNews高級(jí)編輯 陳啟臨）微博上注冊(cè)賬號(hào)為@XcodeGhost-Author的iOS工程師，已于9月19日發(fā)布消息向公眾道歉，他稱，制造XcodeGhost事件，只是因?yàn)榕既话l(fā)現(xiàn)一個(gè)存在于Xcode中的漏洞，接著他以實(shí)驗(yàn)為目的、且?guī)в幸恍┧叫牡刂踩肟梢允占疉pp有關(guān)信息、以及能做廣告推送的代碼。他同時(shí)表示，這段代碼并沒有造成對(duì)公眾隱私的威脅，也沒有使用廣告推送造成對(duì)用戶的騷擾為自己謀利；收集信息的相關(guān)服務(wù)器，目前已經(jīng)關(guān)停。

       如果@XcodeGhost-Author的話屬實(shí)，他有意或無意間釀出公眾、特別是iOS用戶對(duì)信息安全問題的恐慌。被植入代碼的Xcode，流入了AppStore之外的非官方渠道，并且被那些習(xí)慣從搜索引擎中或云盤隨便下載一個(gè)就拿來用的開發(fā)者們使用。據(jù)悉，在服務(wù)器關(guān)停前植入代碼已經(jīng)協(xié)助收集不少數(shù)據(jù)。

       9月17日，猿題庫iOS工程師唐巧，被同行朋友告知用非官方的Xcode編譯的App向一個(gè)網(wǎng)站上傳數(shù)據(jù)后，他率先將此事通過新浪微博發(fā)布出來，而后事件迅速發(fā)酵。來看看這三位網(wǎng)友的犀利討論。

       @行攝京都_Hanshanson：這些公司竟然這么不講究，連Xcode都不會(huì)從官方渠道下載。

       @緣來就系TWO_OhDarling：只是開發(fā)者沒用官方，APP都是官方商城APP STORE上的，蘋果就這樣堂而皇之讓它審核了，你躲都躲不了。

       @多特萌俠：其實(shí)也不能全怪開發(fā)人員，國內(nèi)連接蘋果官網(wǎng)的網(wǎng)速一直很慢，下載個(gè)5個(gè)多G的文件更加是難上加難，所以有些人選擇從國內(nèi)網(wǎng)盤下載別人已經(jīng)上傳好的工具，其實(shí)自從Google被封殺之后，這種情況再安卓開發(fā)中更加普遍，如果Eclipse也被植入惡意代碼，那所有安卓軟件都有危險(xiǎn)。細(xì)思極恐?。?/p>

       或許我們已經(jīng)心里有數(shù)，國內(nèi)開發(fā)人員使用非官方Xcode有情非得已的下載原因，也有確實(shí)不夠?qū)I(yè)的原因，還有蘋果AppStore的審核不利。但XcodeGhost事件足以讓每一個(gè)知道它的人蒙上一層陰影。

       作為一家探討地理信息行業(yè)趨勢(shì)、應(yīng)用和服務(wù)的科技媒體3sNews，筆者想提一下高德地圖和滴滴出行這兩款和人們?nèi)粘Ｉ蠲芮邢嚓P(guān)的出行類軟件，為什么提它們？出了他們都是LBS類軟件，還有是因?yàn)楹懿恍业?，它們也是被開發(fā)者們最先發(fā)現(xiàn)的一批、在XcodeGhost事件中了招的App。兩款A(yù)pp在iOS端擁有可觀的裝機(jī)量，不可小覷地影響著廣大公眾。事件發(fā)生后，兩家公司也是盡快給予了回應(yīng)，希望最有效、迅速地化解一場(chǎng)公關(guān)危機(jī)。

       比如@高德地圖，在@XcodeGhost-Author澄清事實(shí)后在當(dāng)日便通過微博發(fā)出聲音：高德地圖7.5.0版本，已經(jīng)通過App Store審核，請(qǐng)高德地圖7.3.8版本用戶前往更新。截止到目前，高德地圖原有用戶并沒有受到 XCodeGhost事件的影響 ，我們將持續(xù)對(duì)用戶的信息安全情況進(jìn)行監(jiān)測(cè)，采用多種技術(shù)手段保障用戶安全，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)立即進(jìn)行處理。

       @滴滴出行則在事件得到解釋的第二天一早表示：關(guān)于XcodeGhost的問題，4.0 版本可能會(huì)上傳產(chǎn)品部分基本信息，但不會(huì)涉及到用戶隱私。并且，感染源的服務(wù)器已被關(guān)閉，不會(huì)再產(chǎn)生任何威脅。滴滴出行第一時(shí)間處理了這個(gè)問題，并已更新4.1.0版本，請(qǐng)大家放心使用。

       這是一張不完全統(tǒng)計(jì)的陷入XcodeGhost事件中的App應(yīng)用列表，微信、12306、同花順、喜馬拉雅等我們蘋果手機(jī)里的?？?，都進(jìn)入到名單中，真實(shí)情況肯定還要比這惡劣；來自奇虎360的監(jiān)測(cè)數(shù)據(jù)顯示，已有344款A(yù)pp受到了影響。@XcodeGhost-Author這位iOS工程師給很多應(yīng)用開發(fā)的團(tuán)隊(duì)都上了一課。

       所以很多iOS應(yīng)用的技術(shù)開發(fā)負(fù)責(zé)人，應(yīng)該在事后考慮好怎么回答這些問題，才能更正面地吸取教訓(xùn)，永遠(yuǎn)關(guān)注信息安全隱患并進(jìn)行斗爭(zhēng)，才能更長久地讓產(chǎn)品得到用戶信賴。這些問題包括：

       1.在XcodeGhost事件中招后，到底給自己的團(tuán)隊(duì)、產(chǎn)品帶來哪些影響？

       2.對(duì)開發(fā)人員使用“非官方渠道的Xcode”，這種現(xiàn)象在你的團(tuán)隊(duì)中是否是普遍的？

       3.從前端開發(fā)來看，如何解決好讓開發(fā)人員更“標(biāo)準(zhǔn)化”地使用正規(guī)渠道的軟件的問題？

       4.如何評(píng)估iOS上的信息安全？應(yīng)該做些什么來應(yīng)對(duì)更多信息安全方面的風(fēng)險(xiǎn)？

       筆者也把問題拋給了離3sNews受眾企業(yè)最接近的高德公司，通過市場(chǎng)公關(guān)部的同事，希望問題能直達(dá)他們的高管，并給予解答。但遺憾由于時(shí)間倉促，公關(guān)最終給到3sNews的回復(fù)，僅是讓參考微博上@高德地圖的那條官方信息。當(dāng)然，我們會(huì)留出更多時(shí)間給高德以及更多應(yīng)用開發(fā)的團(tuán)隊(duì)來探討這些問題。

       圍繞問題4對(duì)iOS安全性問題的考察，蘋果公司上周六起（9月19日）開始擦屁股。他們?cè)u(píng)價(jià)XcodeGhost事件正是一場(chǎng)黑客行為，并提到兩種惡意代碼成功繞開了AppStore嚴(yán)格的應(yīng)用審批流程。于是乎，蘋果公司已經(jīng)下架那些被植入惡意代碼的應(yīng)用，并要求應(yīng)用開發(fā)者們使用正規(guī)渠道的Xcode重新編譯一遍軟件，再提交給AppStore審核。

       重視隱私的人已經(jīng)開始認(rèn)為，拿在手里的iPhone就是一顆雷，信息安全隨時(shí)可能會(huì)爆炸把自己坑到死；但之于對(duì)隱私無關(guān)痛癢的人，XcodeGhost事件也許還不是一個(gè)特別大的問題，除非哪天比較重要的應(yīng)用賬號(hào)、或者銀行賬號(hào)泄露被盜，怒砸一臺(tái)蘋果的手機(jī)或平板，對(duì)他們來說也不是不可能。