包括微信、滴滴出行、同花顺等

    APP创业热，凸显信息安全问题

    近日，多款知名社交、地图、出行APP的iPhone版被爆出有“恶意代码”，腾讯发布报告称受影响用户可能超过1亿。记者多方采访了解到，本次事件“源头”叫Xcode，受恶意代码影响，由这款工具开发的iOS版APP以及MacOS的程序都会被影响，都存在泄露个人隐私的危险。

    针对苹果应用商店被曝有部分应用程序感染了恶意代码，美国苹果公司20日证实，其官方开发工具软件Xcode遭到黑客攻击和修改，致使用其开发的很多应用程序也被感染。苹果还表示，已从应用商店删除了这些被植入恶意代码的应用。

    苹果APP遭恶意代码感染

    信息安全企业帕洛阿尔托网络公司的研究人员说，一个新的恶意代码通过修改Xcode软件，感染了iOS系统所用的应用程序。他们发现已有39款应用受到感染，其中有些应用在中国及其他国家和地区非常流行，影响到数以亿计的用户。

    被植入恶意代码的iOS系统应用程序包括微信、滴滴出行、铁路12306、同花顺等。荷兰安全公司Fox－IT则探测到中国境外数以千计的恶意流量，发现有56款iOS系统应用程序受到感染。

    对于本次安全事件，14日，国家级网络安全应急机构——国家互联网应急中心（CNCERT）发布《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》中提到，“开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序（苹果APP）时，会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App　Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。”

    这意味着，只要用这款工具开发的苹果APP，都有泄露个人隐私的可能。虽然没有确定问题的严重性，但是CNCERT的建议非常明确——“相关开发者或互联网企业，在开发苹果APP过程中，切勿使用非苹果官方渠道的Xcode工具”。

    APP开发及编译工具

    亟需“重兵把守”

    综合来看，以往安全事件多是某APP的个体事件，但本次安全事件则算得上系统性事件。对此，安言咨询总经理张耀疆认为，“这起事件反映了一种潜在风险，即在用户甚至开发商不知晓的情况下，也有泄露所有个人信息的可能性。即使这次解决了，开发者也很难保证下次不出现类似问题，因为这不是一家能解决的问题，而是整个移动开发链条上的问题。”

    “这次事件给整个业界提了个醒，开发及编译工具应该是需要‘重兵’把守的‘城门’。”资深安全专家林正隆表示。

    对于本次事件的后续影响，启明星辰副总裁欧阳梅雯告诉记者，“目前手机APP创业非常热，大部分公司为了赶进度，很多规则就模糊了。即使在安全实力很强的企业，业务部门也可能不太注重安全，抢着就把APP上线了。但一旦出现安全问题，不仅会对企业品牌产生负面影响，而且中招软件的卸载率也会很高。”

    对此，张耀疆、欧阳梅雯建议，众多开发商提供的东西良莠不齐，很多中小企业不具备软件自检的能力，这类软件在市场上流转就隐藏很大风险。因此，有关部门应该建立一个不依赖任何企业的安全控制机制，把这些应用管起来。此外，尽管本次事件影响巨大，却似乎没有任何人将为此负责，这也再次凸显个人信息保护立法立规的重要性。 据新华社