“易评：XcodeGhost事情后 我们怎么求安全”

本篇文章3117字，读完约8分钟

文/本科技卢鑫

本周各大新闻媒体的科技头条被苹果占领，并不是因为这家企业发布了什么新产品，而是因为“xcodeghost感染门”的事情持续发酵，一时很多人对“注重安全性”的苹果突然“新

事实上，苹果是冤大头——虽然——xcodeghost不能说与苹果无关，但确实不是产品不完善造成的。 只是，全球市值最大的企业是事件当事人之一，而且全球最大的移动市场正好因为“国情”而成为重灾区……这样的组合效果必然能提高媒体的热情空，关注度自然也是黄黄

于是，小编就这次的“xcodeghost感染门”，在这次的“易评”中向大家普及了“提高互联网、新闻安全意识”的课程。 即使不是苹果的顾客，“新闻安全”也是关乎所有身体的话题，特别是我认为未来的汽车、家电门窗有可能由互联网控制。

xcodeghost引发了话题，让我来解释一下这是什么。

简单来说，要在苹果的产品中开发软件应用程序，需要采用一种叫做xcode的工具。 这个工具可以从苹果的官方渠道免费下载，也可以从太平洋软件下载中心、华军软件园、迅雷、百度云盘等第三方下载平台下载(国外有SoftPPP

从苹果官网下载的xcode当然是“原汁原味”。 但是，从其他第三方信息平台下载的，特别是个人客户通过迅雷和百度云共享的xcode，并不容易保证是否被动穿越手脚。

这次所谓的“xcodeghost感染门”，是“共享者”编纂了原来的xcode，创造了原本可以正常“生产”的软件工具。 “病变”变成了“只能生产畸形胎儿的母体”。 这就像破坏母亲的dna，使其成为新生儿先天性的“继承”遗传疾病一样。

因为写出来的xcode在功能上和原来的xcode不一样。 这是因为，客户通常即使是有“技术宅”美誉的开发者们也不会太注意到。

那么，如果是“病毒”，如果是“恶意代码”，不就是安装了杀毒软件进行了处理吗？ 不！

反病毒软件不是万能的。 杀毒软件总是跑在病毒后面。 有类似安全漏洞的代码。 无法检测防病毒软件。

网友会可能不太认同小编的说法，但下面小编将大致说明杀毒软件的运行机制，论证自己的论点。

据悉，杀毒软件或杀毒软件从字面上看是以“防护”为目的设计的。 “防护”是被动的手段，只有等待对方主动出击才能发挥。

这个“对方”是谁？ 病毒制造者和黑客们——少则数万，多则数百万。 没有人能预测他们是谁、何时何地出现，也没有人能预测他们采用的编程语言、使用的安全漏洞和传播方法。 所谓“敌人黑暗，我光明”。 因为那只能“借力”。

当然，也有所谓的“自主防御、自主尸检”技术，但该杀毒引擎只能通过程序行为进行判定，如在系统后台篡改可疑的搜索疑问和系统文件等。 但是，并不是所有的恶意代码都具备这样的特征，至少xcodeghost不需要它。 我们也可以改变立场考虑。 如果“主动防御”真的有效的话，杀毒软件需要每天更新几次病毒库吗？

所以，小编并不是故意中伤杀毒软件的价值，我只是想强调一下。 太过依赖心理，得不到真正的安全。 这不像我们的身体一样，总是依赖药物维持健康。 为了得到真正的健康，必须有意识地积极寻求不让病毒入侵的机会。

这种不主动提供机会的行为，在新闻安全行业中可以具体表现如下。

避免盗版——小编知道有“国情”，但现在开源越来越盛行，很多优秀的商业软件实际上都有对应的开源替代品。 例如，很多人使用的虚拟机软件vmware workstation的开源替代品是virtualbox。 前者250美元，后者完全免费。 至于谁优秀，仁者见仁智者见智。 无论如何，在小编的实际采用中，免费的virtualbox没有感受到任何功能性的不足。

不赋予程序不必要的权限——这本来是linux操作中最基础的概念，但随着目前高端智能手机的广泛普及，其重要性已上升到所有顾客必须牢记的地位。 以采用人数最多的安卓系统为例，安装离线游戏的应用程序时，会要求访问联系人列表。 面对这样无理的要求，有多少人会拒绝呢？

不访问可疑网站，特别是不在陌生网站上填写账户新闻——“恭喜你获得大奖！ 请访问xxx填写金奖新闻……”这是小编随便举的例子，目的是想说，但是这个xxx请一定要看！ 例如，163和163不同，而苹果和app1e更不同

不主动运行不知道的应用程序-在某些情况下，我们的计算机或手机可能会加载不知道的应用程序。 请不要出于好奇而打开。 如果只看名字不认知，那就不点击。 如果可以删除的话，应该在第一时间删除。 为什么这些软件要“不知不觉”上传我们的设备？ 无视“预装”的情况，剩下的最大可能性可能就是运行(或安装)某个程序时没有仔细观察所有环节，而是连带安装了不需要的东西。

不要不加思考就用聊天工具发个人新闻。 即使对方是“有认知力的人”——首先，不通过视频和声音通话，也无法明确该“有认知力的人”是本人。 这样随便发个人新闻，总有一天会成为诈骗集团的受害者之一，这是不可避免的。 另外，虽然可以解释为“儿子是儿子”、“父亲是父亲”，但聊天工具和wifi互联网的背后不能保证安全(有人窃听吗？ “是”。 不是小编偏执狂，在公共wifi环境下(有密码或者没有密码)用“抓包”的手段窃取其他网民的新闻很容易。 github有很多现成的工具，还有一个叫做k*** linux的版本。 这是因为“测试安全问题”(小编用*号省略名字，不想传播不和谐的副本)。

请勿从非正式渠道下载工具。 这里指的是qq、xxx播放器、itunes等软件。 这些软件是免费的，所以应该尽量从官方渠道下载获取。 当然，这次犯了大错的xcode，因为官方下载的速度非常慢，强迫开发者共享国内的“云盘”。 当从这种第三方渠道下载拷贝时，我们必须更加小心，至少在下载完成后核对文件的“哈希值”。 因为苹果没有为xcode工具提供官方的“哈希值”(苹果的过失)，所以小编以微软msdn网站的office pro plus为例，说明这个常用的加密数字的使用方法。

高亮部分是微软官方提供的sha1值(哈希值的一种)。 如果使用“哈希值”工具检查下载的文件，则应该得到完全相同的sha1值。

很多人都说“不”，其实首先要强调的是，作为招聘者的你，必须对自己的所有操作负责，必须仔细考虑后再行动。

这确实不容易，但同时会增加日常生活中的很多麻烦。 但是，今天，我们到达了新闻技术高度发达的时代，如果不培养良好的安全意识，生活越是数字化、智能化，我们反而越会让自己处于危险之中。 特别是在家里的电、门、窗、汽车可以通过互联网控制之后(物联网的终极表现)，如果自己的所作所为还没有“概念”，未来的我们就不会等被人工智能“征服”了，而是被黑客“玩”了。

在这里，我们简单地举一个例子，比如购买了wifi智能门锁的Chang型客户。 您真的了解这些设备的潜在安全风险吗？ wifi连接是否安全就是其中之一，这里涉及弱密码和wifi加密技术等问题。 支持智能锁的手机端应用就是那两个，不多说手机端的各种安全隐患，总之需要考虑很多方面。 其三是门锁的电源系统，很多人可能不会考虑这个。 简单地说，电子门锁一般分为no (默认无电源状态为打开)和nc (默认无电源状态为关闭)两种。 无论如何，如果设计没有精密性，就可以通过“电气和磁性的合理运用”来解锁。

当然，小编听着有点危言耸听，但本来希望能唤起对新闻的安全观察。 这种自我保护意识应该一点点开始，不能以“不是技术宅”“不是我使用的企业品牌”为借口。 “隐私”(私人数据)存在于所有的身体里，学习保护自己免受其他受害者的侵害是最重要的。

(本文的主观陈述仅代表小编个人的意见，不代表本技术的观点)

来源：成都新闻网