圖片來源: 

iThome

山寨版蘋果開發工具XcodeGhost所衍生的資安風險,透過蘋果公司從源頭端,清除所有利用XcodeGhost開發的App並強制下架,迫使所有受感染的惡意App開發者,都必須在最短的時間內推出升級的、安全的新版App。

對於安裝這些受到山寨蘋果開發工具XcodeGhost感染惡意App的使用者,臺灣Fireeye技術顧問林秉忠說:「直接將惡意App移除,重新安裝或者升級到新版的App是蘋果行動裝置使用者最好的自保之道。」某些資安公司業者也鼓勵,有安裝受感染惡意App的使用者,也應該儘速更改iCloud密碼以確保其安全性。

但是,如果企業有引進BYOD(自帶裝置),他認為,為了確保企業環境App的安全性,基本的行動裝置控管(MDM)或者是行動裝置應用程式控管(MAM)都有其必要性;若是企業有自行開發企業版App提供服務,為了避免採用到山寨版開發工具開發出惡意App的情況,甚至可以考慮引進一些App安全的掃描工具或是服務,提升開發App產品的安全性。

XcodeGhost資安事件發生的主因,其實就是中國開發者不習慣從官方網站下載開發工具,蘋果官方在發生這起資安事件時,也大肆宣導並鼓勵中國開發者養成從官方網站下載開發工具的習慣。戴夫寇爾(DevCore)執行長翁浩正便表示,開發者除了要檢查自己的開發工具的確從官網下載外,也必須驗證下載的檔案雜湊值與官方符合,避免下載到其他人自行打包的開發工具,以減少開發惡意App的風險。

而在開發環境中,App跨界交流協會、日傑資訊App開發顧問江鍾權表示,蘋果官方也提供一個官方工具SPCTL(SecAssessment System Policy Security),讓開發者驗證其所下載的Xcode確實為官方版本。此外,他指出,只要是Mac OS Lion 10.7.3版以上的作業系統開發相關的App,就可以啟用GateKeep這個工具,防止開發者安裝從不是官方AppStore或者是經過認證的管道下載相關的應用程式,確保其下載程式的安全性。

 

此次XcodeGhost資安事件後,為了減少中國開發者從網路雲端空間或論壇下載山寨版的蘋果開發工具,中國蘋果鼓勵所有的開發者,可以採用官方提供的SPCTL檢查工具,驗證所下載的Xcode的確是官方版本。

要開發安全的App,除了一定要確保所使用的開發工具是乾淨且安全外,臺灣趨勢科技技術顧問簡勝財表示,建議相關的行動App開發者,也應該創造一個獨立的開發環境,並提供加密機制,確保開發程式的安全性;而若是有資安部門,則應該和其合作,從基本的弱點掃描、源碼檢測以及滲透測試等方式,確保開發App的安全性。

不過,曾經有與中國App開發者委外開發App經驗的南臺灣最大行動開發研討會MOPCON副總召莊志鴻(網路暱稱Mikimoto)則提醒,臺灣仍有許多公司和企業會席關將App開發委外給中國業者,但在他們講求速度和效率卻不講究App品質控管(QA)下,如何從合約端要求開發者使用合法的開發工具,在App開發完成後,臺灣企業除了功能檢測外,仍有能力做安全檢查,才能真正確保即便是委外開發的App,都是安全的App。

【相關報導請參考【iThome資安事件簿1】解讀XcodeGhost風暴


熱門新聞

Advertisement