映象新聞

　　未越獄（或者說破解）的iPhone/iPad也不是百分百安全的。

　　美國當地時間9月20日，蘋果公司首次確認有黑客對App Store發起大規模攻擊，目前正在清理應用商店中的惡意App，漏洞原因則是“開發者基于非信任渠道發布的工具開發的App有可能對用戶安全造成威脅。”

　　蘋果公司的iOS系統向來以“封閉而安全”著稱，它沒有安卓五花八門的應用市場，下載軟件只能通過官方的App Store進行。越獄（或者破解）之后的蘋果設備則可以繞開蘋果構筑的這層防線，允許用戶下載非App Store中的應用，免費下載一些原本收費的App，但同時也帶來巨大的安全隱患，因為這些App可以輕而易舉地獲取更高的操作權限，從而控制手機。

　　蘋果官方App Store遭受攻擊源于9月18日中國漏洞報告平臺烏云網公布的一則分析報告：XCode編譯器里有鬼。

　　據報告，有些程序員使用了非蘋果官方、第三方渠道下載Xcode編譯器，這些編譯器編寫的App存在安全問題，當這些App上傳至App Store并被用戶下載安裝后，它們會偷偷上傳軟件包名、應用名、系統版本、語言、國家等基本信息，還會在手機上彈出釣魚網站頁面，可能騙取iCloud帳號密碼，或者其他關鍵信息。

　　Xcode是運行在操作系統Mac OS X上的集成開發工具，由蘋果公司開發。

　　“由于中國開發者上蘋果官網下載XCode十分緩慢，一些開發者就通過第三方渠道進行了下載。”獵豹移動安全分析師李鐵軍告訴澎湃新聞。

　　根據獵豹的監測，受影響的App可能有30多款，包括微信、網易云音樂、網易公開課、我叫MT、同花順、南京銀行、南方航空、中信銀行行動卡空間、名片全能王、憤怒的小鳥2等等比較熟知的應用。

　　另據安全公司360的監測，受影響的App超過344款，涉及用戶達到1億。這些App包括12306、滴滴出行、高德地圖、同花順等應用。

　　騰訊公司9月18日確認在微信6.2.5版本存在漏洞，目前App Store已更新到6.2.6版本，目前尚未發現用戶因此造成信息或財產的損失。

　　網易公司、滴滴快的公司也相繼確認問題App，并表示目前更新的最新版本是安全的。

　　“以往人們普遍認為，只要不越獄，只從官方應用市場下載軟件，iPhone/iPad就是安全的。現在，這個神話破滅了。開發工具中做手腳 ，可能騙過那些聰明的程序員，在編譯自己的應用時，把有害代碼加進去，威脅用戶數據安全。甚至這種攻擊方式繞過了AppStore的安全審核機制，使得官方商店的防護也不如以往那樣可信。”李鐵軍表示。

　　網絡安全公司Palo Alto Networks指出，在此次攻擊之前，蘋果應用商店只發現了5款病毒應用。

　　李鐵軍同時表示，相比之下，最近安卓手機感染的病毒“幽靈推”才是真正可怕的，每天有超過60萬臺設備中毒。受害用戶集中在美國、印度、中國等等。該病毒隱藏在“會說話的湯姆貓3”等流行應用中，獲取系統最高權限，中毒手機會被惡意扣費，安裝間諜軟件竊取隱私。