安全防线究竟出了什么问题 追溯苹果Xcode幽灵入侵根源 (安全防线的意义)
近期XcodeGhost事件沸沸扬扬,大家都很关注此事的影响、后果和解决方案,可是这件事情的根源究竟是什么? 还有没有未被发现的其他类似安全隐患?未来如何防止同类攻击的发生?本文作者是启明星辰VP,资深安全人士,他试图从应用开发者角度来剖析这一切。
上述两个事件与XcodeGhost的相似之处在于,攻击者都是利用了开发/设计/监控环境的安全漏洞,最终达成了对生产/消费环境的渗透。
入侵者利用哪些点进行攻击?
我们知道,随着厂商和用户安全意识的提高,生产环境大量使用物理/逻辑隔离手段,而消费环境则可能使用严格的审核机制甚至完全封闭的生态环境, 这使得直接攻击生产/消费环境的难度大幅度上升,而厂商和消费者往往也会产生自满情绪,认为已经一劳永逸的解决了信息安全威胁。
但是攻击者并不会按照防御者规定的方式作战,他们总是能找到最容易突破的位置,采用一些事先无法想到的手段,突破禁制,达成目的。
不幸的是,在此次事件中,开发环境恰好是那个最容易被突破的环节。
一家应用软件公司要想发布应用程序,必须要搭建开发环境,包括代码编辑器、编译器、调试器、模拟器、第三方库、其他资源等等,如下图所示:
程序员在自己的工作电脑上写出代码、通过编译上传到公司的服务器,进行数字签名后,发布到应用市场(如APP Store或者Google Play等),在整个过程中,存在着多个可能被入侵者利用的点:
那么,为什么会出现以上的漏洞呢?
世界应该是完美的才对啊?抱歉,真实世界并非是完美无缺的。
1、移动应用开发成本大,安全标准让路。
随着移动互联网的进一步升温,大量公司涌入移动应用开发,各家应用供应商的竞争也非常激烈。应用软件的开发工期和按时发布的压力很大,在这种情况下,对安全的考量往往要为软件功能和发布时间让路。在良好的开发流程中,对软件开发环境、测试及代码审核、应用软件的发布和管理都有较为严格的规定,但是严格的管理流程会带来额外的成本开销,在发布压力较大的情况下,往往会在安全标准上做出让步。
2、人才培养的缺失,危机暗伏
同时,由于移动互联网行业发展速度太快,人才培养远远跟不上行业需求,部分缺少良好安全训练的软件工程师直接上岗,他们编写的代码存在大量的安全问题。部分问题可以通过测试修复bug解决,但是很多的漏洞隐藏在已经发布的软件中。
例如现在的健康应用中,大多数都没有认证校验措施,未来这些数据如果用于医疗急救,一旦被篡改就可能造成严重的后果。
由于移动互联网是新兴行业,在过去的几年中尚未成为黑色产业重点关注的区域,因此应用公司和开发人员也产生了移动互联网安全问题不严重的心理 误区,加上对封闭生态环境(如苹果的应用商店)的迷信,一味依赖手机厂商提供的安全措施,造成了一旦厂商的安全措施被从其他方向绕过,就被势如破竹地打穿所有防线的后果。
实际上,上一个十年的经验告诉我们,任何一种独立的安全措施都不能简单地防范所有的安全威胁,必须是完整构建的安全体系才有能力和各种高级威胁进行对抗。这一点,微软想必已经深有体会,但是苹果和谷歌及其大量的应用供应商,还需要至少几年的时间去慢慢学习。
除了本次暴露的XcodeGhost,还有没有类似的其它安全隐患?
如前文所说,通过开发环境进行攻击并非首创,而安卓的开发环境比苹果更加复杂和开放 ,根据0xid西雅图小组的跟踪分析,在安卓的开发环境中同样存在各种信息安全问题,有些甚至更加严重。
本次事件中,除了Xcode之外,Unity和 Cocos2dx这两个游戏开发平台,也受到了不同程度的污染,这就进一步影响到了安卓和windows。
那么,未来如何防止同类攻击的发生呢?
人的懒惰和侥幸心理是天性,因此,必须要采用严格的管理和规范来对抗它们,在国际标准ISO27001和SSE CMM中,均有对应用软件开发环境和第三方组件使用的安全性要求,应用开发商应该要做到:
1、应该有严格的开发环境隔离措施。开发、测试和运行环境严格分开,经过授权的人才能访问各个不同环境,并在其中进行完整性和一致性检查。严控开发环境与互联网的交互接口,采用合适的安全防御措施保护开发测试和运行环境。2、对开发环境使用的软件进行控制,确保均来自可信的来源。开发环境应使用正版软件,并设置软件白名单,禁止安装白名单以外的应用。3、向开发人员提供足够的安全培训。开发人员应该经过安全意识、安全技能、安全规章制度的培训,从而有意识、有能力、有意愿写出更加安全和健壮的代码。
4、加强对代码的审核和对应用的安全测试,确保其中没有恶意的逻辑。通过在测试中增加安全性测试,以及对关键代码进行评审,必要时委托第三方专业公司进行安全检查,从而发现代码中的疏忽或者是恶意的后门。
5、严格管理软件发布的流程,并随时监控在互联网上流转的应用,及时发现问题并及时处理。软件发布应由专人管理,并进行审计记录,保管好发布账号和签名证书,实时监控互联网上流转的应用镜像,有可能的情况下通过软件自动进行校验,一旦发现问题及时的处置和报警,将损害降到最低。
原创文章,未经授权禁止转载。详情见 转载须知 。
星空影院www.751314.com为广大网友整合全网视频,2024最新VIP电影电视剧,搞笑动漫综艺,美剧港剧节目提供给各大网友高清免费在线观看。
中华人民共和国审计署,开设“机构概况、新闻频道、公告报告、信息公开、审计之窗、公共服务、公众互动”栏目,及时发布相关信息,详情请进入访问。
九天音乐网是目前国内最悠久的音乐服务品牌,为用户提供高品质音乐免费试听、正版音乐下载、MV观看、唱片购买。平台汇聚了众多优质音乐人和歌手,拥有流行、民谣、电子、摇滚等十多个流派的原创音乐作品。
西安树人企管专注西安建筑资质代办9年,正规靠谱的资质代办公司,主要代理:建筑业企业资质、房地产开发企业资质、勘察设计资质等企业资质新申请办理、资质升级和增项,范围覆盖陕西西安、咸阳、榆林、商洛、渭南、汉中等。
阿仪网致力于为采购商更容易找自己仪器仪表产品信息,仪器仪表企业网络宣传和推广更有效,平台提供实验仪器,化工仪器,分析仪器,光学仪器,无损检测,物理仪器,环境检测,色谱仪器,生物检测,温度仪表,压力仪表,流量仪表,电工仪表,量具量等产品,权威的行业资讯,促进行业人士之间的交流及交易,节省企业的营销和物流成本。
青元游戏福利平台,千万玩家的游戏中心。提供最新最全的网络游戏、单机游戏、手机游戏、网页游戏玩家指南,囊括游戏下载、玩家评测、高手攻略、活动礼包、排行榜等信息,为广大玩家构建丰富的游戏乐玩社区。免费好玩的游戏,尽在青元游戏网!
送花乐为广大客户提供全国异地送花服务,目前覆盖国内2000余城市。国内城区免费配送上门。包括送朋友、同事、恋人、夫妻、长辈、老师等不同对象。及生日、公司店铺开业、结婚等不同场景的送花服务。网上订花送花,就选送花乐鲜花速递服务
东莞立诚电子有限公司,电线电缆,插头,化工,纸业及房地产-立诚电子创立于1993年6月18日,秉承追求卓越的经营理念,从设计到制造生产,以专业化的技术和一流的服务,提供价廉物美、质量优良的产品为业界服务。
北京理工纬铂知识产权代理有限公司是北京理工大学专利中心的运营主体。北京理工大学专利中心原系北京理工大学科技处下属部门。2009年在校党委和相关各级领导的关心支持下进行企业化运营,成立北京理工纬铂知识产权代理有限公司,同时保留专利中心的代理资质。
吴江旭日环保设备有限公司是一家专业生产玻璃钢环保产品的公司,主要从事于工业废气处理、废水处理的开发、设计、生产、安装、保养及环保技术咨询服务。公司位于美丽的水城苏州。 公司产品广泛应用于化工、印染、钢铁、电子、纺织、轻工、食品、医药、电镀、造纸、冶金、生物工程、石油炼制等多种行业。公司依托国内多所知名大学的雄厚技术实力,引进国外先进环保制造理念,积极与高尖端日韩环保企业交流合作,现已为国内数以百家终端客户解决了环保难题。 公司拥有丰富的废气处理设计经验、一流的生产制造能力和完善的售后服务体系,通过了环保体系认证。公司始终坚持,以质量为根本,用技术做先导,靠真诚赢取客户的方针,不断开拓市场,用优质的设备,周到的服务反馈社会。
亚马逊选品,测评,申诉,各类服务尽在amzzm。一个属于跨境人的桌面。海量亚马逊工具一应俱全,确保每个亚马逊人都能找到自己想要的服务。
Trustie
自助餐在餐饮市场上属于是一个新兴的一个餐饮模式,消费者可以根据自己的口味需求选择想要的食材进行烤制食用,不仅有一个美好的餐饮体验同时还能享受到自己动手制作美食的乐趣,汉釜宫烤肉为消费者提供出新鲜好的健康食材,种类丰富全面备受广大消费者的喜爱,那么自助烤肉加盟哪家靠谱,汉釜宫烤肉值得考察,汉釜宫自助烤肉能够为消费者提供出多样化的美食体验...。
雷锋网消息,近日,国内知名的动作捕捉厂商诺亦腾,Noitom,完成C轮融资,领投方为VMSLegendInvestmentFundI,之前轮次的主要投资人以及信业基金进行了跟投,诺亦腾此前曾于2015年底获得超过2千万美元的B轮融资,由奥飞动漫领投,海通开元、君联资本跟投,估值超过2亿美元;A轮融资为百万美元,投资方君联资本,海通开源...。
消息,近日,未知君与奇辉生物共同宣布战略合作,双方将整合各自的技术与平台优势,在肠道菌群提取、纯化、临床应用以及AI制药等领域开展深度合作,人体共生微生物群构成的微生态系统,是与自体基因组协同进化的共生功能性器官,是维持各项生理功能稳态、决定疾病异质性的物质基础之一,以微生态系统功能为调控靶点的,微生态医学,目前正处于产业化爆发...。
和他交流不会特别强势,或许是锋芒尽收,没有展现出来,这是完美世界前员工徐若喜对顾黎明的第一印象,而此时顾黎明还在负责完美世界北美地区的融资事宜,时隔多年,2024年的7月22日下午,顾黎明成为完美世界CEO的消息传遍游戏圈,这场突如其来的人事变动,对于完美世界员工,同样也难以置信,甚至有内部人员表示也是从外部人士口中得知此消息...。
查询火车是否停运可以通过多种途径进行,以下是一些常见的查询方式,1.官方铁路客服电话,在中国,可以通过拨打铁路客服电话进行咨询,如车次、日期等,查询火车是否停运,并告知相关信息,2.铁路官方网站,中国铁路客户服务中心官网,是查询火车是否停运的主要渠道之一,在网站上,可以输入车次、日期等信息,查询火车的运行状态,如果火车停运,网站会显...。
发表在极米投影仪2022,7,817,48近日小米上新了一款小米激光投影仪1S售价在五千多,有着超高的亮度以及不错的配置,在差不多价位的极米H3S一直是一款销量非常好的家用投影仪,小米激光投影仪1S对比极米H3S这两款投影仪又有哪些区别呢,相似价位的它们哪款更好用,性价比更高呢,下面我们一起来看看,小米激光投影仪1S对比极米H3S一,...。
华侨是指中国籍人士在国外定居或暂时居留的群体,他们保留着中国国籍和文化烙印,与本土居民形成了因血缘、文化、语言等因素联结在一起的群体,美国华侨属于其中之一,是在美国长期居住或工作的中国人群体,美国华侨是美国历史上最早的外籍华人群体,早在19世纪中叶,就有大量的华工移民来到美国南北两地从事铁路建设和矿山行业,后来,随着移民政策的变化,越...。
据成都日报信息,记者从成都市无关部门了解到,11月12日,中央层面整治方式主义为基层减负专项任务机制办公室、中央纪委办公厅地下放报全国3起整治方式主义为基层减负典型疑问,其中包含金牛区对外交换核心存在适度装修疑问,成都市委、市政府高度注重,迅速召开专题会议,钻研部署整改处理任务,要求深入吸取经验、立刻片面整改,成都市纪委监委已成立调查...。
飞驰smart二手车多少钱在7,10万元左右,二手车的多少钱遭到多种起因的影响,包含证件完全性、车龄、里程、车况、保养状况、品牌、行驶年限、行驶里程、发起机、底盘、全体外观、内饰等,在确定好汽车状况后,车型在没有出现大改款的前提下,第一年的折旧率约为15%至20%,第二至五年,每年递减7%至9%之间,同系列中,二手车的收卖价以基本型...。
通勤穿搭别只知道穿黑西装,拒绝这4点,对塑造职场形象太重要了,露肤,西装裤,针织衫,通勤穿搭,职场形象,身材比例
新款特斯拉Model3预售25.99万,想试驾?还得再等等,新车,试驾,新能源汽车,埃隆_马斯克,model,3,特斯拉model3,特斯拉价格
网易cc手机版下载安装-网易CC是网易的一个游戏视频直播软件,网易CC手机版在手,看美女游戏直播,手游视频…随时,随地,秀出别样精彩,网易CC手机版里面有高人气美女视频直播,热门游戏对战直播,原创手游视频,您可以免费下载安卓手机网易cc直播。
2月23日,北京奇安盘古实验室科技有限公司,以下简称,盘古实验室,发布报告,披露了来自美国的后门——,电幕行动,Bvp47,的完整技术细节和攻击组织关联,盘古实验室称,这是隶属于美国国安局,NSA,的超一流黑客组织——,方程式,所制造的顶级后门,用于入侵后窥视并控制受害组织网络,已侵害全球45个国家和地区,这是中国研究员首次公开曝...。
老邱,全名邱鸿文,恒实琥珀,三世缘琥珀品牌创始人;琥珀品类普及运动推手,仁者不忧,智者不惑,勇者不惧,,从老邱步入社会至今,这句话一直陪伴左右,虽然未达前两者的水平,但他常常庆幸自己选择成为勇者,因为,勇,,老邱得以从一个草根的IT男,先后三次创业,反复折腾,在琥珀行业有了自己的一席之地,记得2003年,神州大地兴起了一场互联网运动,...。
发表在天猫魔屏2024,1,1614,30天猫魔屏C1是一款价格在千元的投影仪,据说有着不错的性能配置,具体天猫魔屏C1投影仪怎么样呢,下面就来详细了解一下,看看天猫魔屏C1投影仪的参数配置究竟如何,各方面有什么优缺点,是否值得用户入手,天猫魔屏C1投影仪怎么样,1.光学参数天猫魔屏C1采用LCD显示技术,提供不错的色彩还原度,不过画...。
头一艘顶多也就是库兹涅佐夫级的不可能像美国那样的超级航母并且肯定银滑是常规动力的常规动力对能源很重视并且蒸汽弹射器太耗费能源了把一架FA18弹射出去敬含需要耗费大约一顿半的水国产的第一艘航母不一定能上弹射器可能还是滑跃起飞不要想赶超美国航母美国在一战就有航母发展了100年直到2009年5月才退役小鹰号还是常规锋稿腊动力航母也就是说小鹰...。
随着哈尔滨视保市场规模的扩大,视力养护的市场需求剧增,以及对青少年近视防控的重视和支持,哈尔滨明眸时代视力养护项目发展如火如荼,成为当前创业、加盟、智慧之选的现象级热点,明眸时代,武汉,生物技术有限公司坐落于武汉,是一家专业致力青少年和成人视力养护,集护眼产品的研发生产、视力养护机构的加盟合作为一体的科技型企业,公司在传统穴位刺激、经...。
