【专家视点】苹果APP遭恶意代码感染 谁来守护信息安全？

近日，多款知名社交、地图、出行ＡＰＰ的ｉＰｈｏｎｅ版被爆出有“恶意代码”，腾讯发布报告称受影响用户可能超过１亿。记者多方采访了解到，本次事件“源头”叫Ｘｃｏｄｅ，受恶意代码影响，由这款工具开发的ｉＯＳ版ＡＰＰ以及ＭａｃＯＳ的程序都会被影响，都存在泄露个人隐私的危险。

本次事件的主角是Ｘｃｏｄｅ，ｉＰｈｏｎｅ上的ＡＰＰ和ｍａｃ上跑的程序很多是用Ｘｃｏｄｅ写出来的。除了苹果公司的官方版本，还有一些非官方版本的Ｘｃｏｄｅ，在下载速度和方便性上，非官方版本有一定优势，因此很多国内开发者也乐于使用。但是，这次引发问题的正是这些非官方版本的Ｘｃｏｄｅ。

对于本次安全事件，最权威的发布来自国家级网络安全应急机构——国家互联网应急中心（ＣＮＣＥＲＴ）。１４日，ＣＮＣＥＲＴ发布《关于使用非苹果官方Ｘｃｏｄｅ存在植入恶意代码情况的预警通报》中提到，“开发者使用非苹果公司官方渠道的Ｘｃｏｄｅ工具开发苹果应用程序（苹果ＡＰＰ）时，会向正常的苹果ＡＰＰ中植入恶意代码。被植入恶意程序的苹果ＡＰＰ可以在Ａｐｐ　Ｓｔｏｒｅ正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。”

这意味着，只要用这款工具开发的苹果ＡＰＰ，都有泄露个人隐私的可能。虽然没有确定问题的严重性，但是ＣＮＣＥＲＴ的建议非常明确——“相关开发者或互联网企业，在开发苹果ＡＰＰ过程中，切勿使用非苹果官方渠道的Ｘｃｏｄｅ工具”。

记者了解到，多款知名音乐、出行ＡＰＰ均由该代码写作。“腾讯安全应急响应中心”１９日发布报告称，“我们发现Ａｐｐ　Ｓｔｏｒｅ下载量最高的５０００个ＡＰＰ中有７６款ＡＰＰ被ＸＣｏｄｅ　Ｇｈｏｓｔ感染，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用。根据保守估计，受这次事件影响的用户数超过１亿”。

“３６０安全播报平台”１９日上午通报称，３６０安全团队“扫描了１４万５千多个ＡＰＰ，共发现３４４款ＡＰＰ感染Ｘｃｏｄｅ　Ｇｈｏｓｔ木马，其中不乏……用户量很广的ＡＰＰ，涉及互联网、金融、铁路航空、游戏等领域”，“目前已知漏洞会收集用户信息以及模仿ｉＣｌｏｕｄ登录界面要求用户输入账号密码”。

受影响ＡＰＰ也启动补救工作。例如微信团队１８日晚就发布说明，称“最新版本微信已经解决此问题，用户可升级微信自行修复，此问题不会给用户造成直接影响”，“目前尚没有发现用户会因此造成信息或者财产的直接损失”。

对于可能受影响的企业或者用户，这时能做些什么？记者多方了解到，目前一些安全企业已推出了相关安全检测产品。其中，知名安全公司“启明星辰积极防御实验室”推出了企业级检测软件，盘古团队推出了面向个人用户的Ｘｃｏｄｅ病毒检测ＡＰＰ。

综合来看，以往安全事件多是某ＡＰＰ的个体事件，但本次安全事件则算得上系统性事件。对此，安言咨询总经理张耀疆认为，“这起事件反映了一种潜在风险，即在用户甚至开发商不知晓的情况下，也有泄漏所有个人信息的可能性。即使这次解决了，开发者也很难保证下次不出现类似问题，因为这不是一家能解决的问题，而是整个移动开发链条上的问题。”

“这次事件给整个业界提了个醒，开发及编译工具应该是需要‘重兵’把守的‘城门’。”资深安全专家林正隆表示。

对于本次事件的后续影响，启明星辰副总裁欧阳梅雯告诉记者，“目前手机ＡＰＰ创业非常热，大部分公司为了赶进度，很多规则就模糊了。即使在安全实力很强的企业，业务部门也可能不太注重安全，抢着就把ＡＰＰ上线了。但一旦出现安全问题，不仅会对企业品牌产生负面影响，而且中招软件的卸载率也会很高。”

对此，张耀疆、欧阳梅雯建议，众多开发商提供的东西良莠不齐，很多中小企业不具备软件自检的能力，这类软件在市场上流转就隐藏很大风险。因此，有关部门应该建立一个不依赖任何企业的安全控制机制，把这些应用管起来。此外，尽管本次事件影响巨大，却似乎没有任何人将为此负责，这也再次凸显个人信息保护立法立规的重要性。