高德地图、滴滴出行等百余款应用中招，XcodeGhost事件给了我们什么教训？

       （文／3sNews高级编辑 陈启临）微博上注册账号为@XcodeGhost-Author的iOS工程师，已于9月19日发布消息向公众道歉，他称，制造XcodeGhost事件，只是因为偶然发现一个存在于Xcode中的漏洞，接着他以实验为目的、且带有一些私心地植入可以收集App有关信息、以及能做广告推送的代码。他同时表示，这段代码并没有造成对公众隐私的威胁，也没有使用广告推送造成对用户的骚扰为自己谋利；收集信息的相关服务器，目前已经关停。

       如果@XcodeGhost-Author的话属实，他有意或无意间酿出公众、特别是iOS用户对信息安全问题的恐慌。被植入代码的Xcode，流入了AppStore之外的非官方渠道，并且被那些习惯从搜索引擎中或云盘随便下载一个就拿来用的开发者们使用。据悉，在服务器关停前植入代码已经协助收集不少数据。

       9月17日，猿题库iOS工程师唐巧，被同行朋友告知用非官方的Xcode编译的App向一个网站上传数据后，他率先将此事通过新浪微博发布出来，而后事件迅速发酵。来看看这三位网友的犀利讨论。

       @行摄京都_Hanshanson：这些公司竟然这么不讲究，连Xcode都不会从官方渠道下载。

       @缘来就系TWO_OhDarling：只是开发者没用官方，APP都是官方商城APP STORE上的，苹果就这样堂而皇之让它审核了，你躲都躲不了。

       @多特萌侠：其实也不能全怪开发人员，国内连接苹果官网的网速一直很慢，下载个5个多G的文件更加是难上加难，所以有些人选择从国内网盘下载别人已经上传好的工具，其实自从Google被封杀之后，这种情况再安卓开发中更加普遍，如果Eclipse也被植入恶意代码，那所有安卓软件都有危险。细思极恐啊！

       或许我们已经心里有数，国内开发人员使用非官方Xcode有情非得已的下载原因，也有确实不够专业的原因，还有苹果AppStore的审核不利。但XcodeGhost事件足以让每一个知道它的人蒙上一层阴影。

       作为一家探讨地理信息行业趋势、应用和服务的科技媒体3sNews，笔者想提一下高德地图和滴滴出行这两款和人们日常生活密切相关的出行类软件，为什么提它们？出了他们都是LBS类软件，还有是因为很不幸的，它们也是被开发者们最先发现的一批、在XcodeGhost事件中了招的App。两款App在iOS端拥有可观的装机量，不可小觑地影响着广大公众。事件发生后，两家公司也是尽快给予了回应，希望最有效、迅速地化解一场公关危机。

       比如@高德地图，在@XcodeGhost-Author澄清事实后在当日便通过微博发出声音：高德地图7.5.0版本，已经通过App Store审核，请高德地图7.3.8版本用户前往更新。截止到目前，高德地图原有用户并没有受到 XCodeGhost事件的影响 ，我们将持续对用户的信息安全情况进行监测，采用多种技术手段保障用户安全，一旦发现风险立即进行处理。

       @滴滴出行则在事件得到解释的第二天一早表示：关于XcodeGhost的问题，4.0 版本可能会上传产品部分基本信息，但不会涉及到用户隐私。并且，感染源的服务器已被关闭，不会再产生任何威胁。滴滴出行第一时间处理了这个问题，并已更新4.1.0版本，请大家放心使用。

       这是一张不完全统计的陷入XcodeGhost事件中的App应用列表，微信、12306、同花顺、喜马拉雅等我们苹果手机里的常客，都进入到名单中，真实情况肯定还要比这恶劣；来自奇虎360的监测数据显示，已有344款App受到了影响。@XcodeGhost-Author这位iOS工程师给很多应用开发的团队都上了一课。

       所以很多iOS应用的技术开发负责人，应该在事后考虑好怎么回答这些问题，才能更正面地吸取教训，永远关注信息安全隐患并进行斗争，才能更长久地让产品得到用户信赖。这些问题包括：

       1.在XcodeGhost事件中招后，到底给自己的团队、产品带来哪些影响？

       2.对开发人员使用“非官方渠道的Xcode”，这种现象在你的团队中是否是普遍的？

       3.从前端开发来看，如何解决好让开发人员更“标准化”地使用正规渠道的软件的问题？

       4.如何评估iOS上的信息安全？应该做些什么来应对更多信息安全方面的风险？

       笔者也把问题抛给了离3sNews受众企业最接近的高德公司，通过市场公关部的同事，希望问题能直达他们的高管，并给予解答。但遗憾由于时间仓促，公关最终给到3sNews的回复，仅是让参考微博上@高德地图的那条官方信息。当然，我们会留出更多时间给高德以及更多应用开发的团队来探讨这些问题。

       围绕问题4对iOS安全性问题的考察，苹果公司上周六起（9月19日）开始擦屁股。他们评价XcodeGhost事件正是一场黑客行为，并提到两种恶意代码成功绕开了AppStore严格的应用审批流程。于是乎，苹果公司已经下架那些被植入恶意代码的应用，并要求应用开发者们使用正规渠道的Xcode重新编译一遍软件，再提交给AppStore审核。

       重视隐私的人已经开始认为，拿在手里的iPhone就是一颗雷，信息安全随时可能会爆炸把自己坑到死；但之于对隐私无关痛痒的人，XcodeGhost事件也许还不是一个特别大的问题，除非哪天比较重要的应用账号、或者银行账号泄露被盗，怒砸一台苹果的手机或平板，对他们来说也不是不可能。