RFI:中国防火墙作法自毙给苹果程式黑客有机可乘

RFI:中国防火墙作法自毙给苹果程式黑客有机可乘

根据纽约时报及互联网通讯刊物WIRED报导,中国大陆的苹果电脑程式网店,最近有接近数十个含有恶意程式的软件,在用户不知情的情况下被下载。不过根据主要的互联网安全公司的分析,黑客是利用中国政府布下的“网路防火墙”所造成的不便,致有机可乘。

所谓的“网路防火墙”是中国当局用来限制国内网民访问境外政府视为是意识形态有问题的网站,其中包括facebook及多家外国传媒的网站。大陆网民如要登入被国家封杀的网站,则需要所谓“翻墙”软件。

传媒引述美国Palo Alto Networks以及奇虎360科技两大网路安全公司的分析,以及大陆内地主要的互联网公司的报告指出,很多大陆的程式开发商经常都抱怨,国家布下的“网路防火墙”,使得访问若干网站的速度奇慢,其中包括苹果给予开发商免费下载Xcode的网站,黑客遂借机在其他网站提供加了恶意病毒的Xcode,以快速下载的好处,引诱开发商上当,从源头开始入侵。

Xcode是开发苹果手机iOS和电脑OSX操作平台程式的必要工具。一般而言,Xcode可以从苹果网站免费下载,但开发商也可以从别的地方下载,例如网上多个苹果程式开发商论坛网站。

报导指出,从中国“百度云盘”下载的Xcode,就含有额外的代码,阿里巴巴研究员称此为“Xcode幽灵”。

任何使用“Xcode幽灵”开发的程式,一旦被下载之后,用户的多项数据和信息都会被收集,包括开启程式的时间、用户工具的名称以及网路的类型,这些其实都不是黑客用来对付用户的资料。

但其中一个混过苹果安全检查的程式,就是“网易云音乐”,根据Palo Alto网路分析,“网易云音乐”拥有4颗半星的评级,深受大陆用户欢迎。Palo Alto网路的恶意程式分析员告诉WIRED,该公司发现有多个程式已经遭到入侵。

此外,任何从非官方网站下载Xcode工具来开发程式者,都可能受到影响。使用“Xcode幽灵”为企业开发应用程式的,也可能受到影响,尤其是这些程式只会用于企业内部,不需经过苹果的检验。

评论

此博客中的热门博文

陈先生的抢救室|膜蛤文化流行背后的社会学意味

【河蟹档案】70后的痛:你硬时政策比你硬,政策软时你还软

Long live shadowsocks