(文/3sNews高级编辑 陈启临)XcodeGhost事件之后,苹果再次发出声音表示,官方版Xcode软件的下载将被迁移至中国境内的服务器,这样国内开发者可以更高效地下载这个开发程序用的软件了。
苹果高级副总裁菲利普·席勒(Philip Schiller)针对XcodeGhost事件提到:“事实上没有系统是完美的,苹果的系统同样也是如此,此次事件有助于我们不断完善产品,重要的是我们能在这当中学到东西,并且之后加以改进。”
席勒还承认Mac操作系统OS X Mountain Lion中首度推出防止恶意软件进入应用市场的Gatekeeper技术,也存在着一些问题。
在知乎上的网络安全人士一言蔽之,Gatekeeper“防君子不防小人”,它并不能完全监视 TCP 协议栈和文件系统,如果下载器不通过某个 API 告诉系统它写入的这个文件是从网上下载的,或者它没有在Info.plist里声明它写入的文件必须作判断,Gatekeeper 就不起作用。
另外,Gatekeeper实现在 LaunchServices 层,而不是在 Launchd 层,对于非图形界面的命令行程序,也是无法判断的。
安全人士也指出,国内不少IT公司为降低成本,采购从非正规渠道购买的MacBook电脑产品,在配置办公和开发软件时,这些电脑可能同时由非苹果官方的服务商提前配置好,整个过程极易被安装已被恶意代码植入的Xcode软件。
如果苹果公司不能从根本上解决现存的问题,那么风险将持续存在,最终一定会影响全球用户对信息安全的不信赖。
{{item.content}}