本周XcodeGhost木馬事件繼續(xù)發(fā)酵，今天，蘋果高級副總裁Philip Schiller在接受騰訊電話采訪中表示：“蘋果系統(tǒng)并非完美，事實上沒有系統(tǒng)是完美的，而此次事件也促使我們提升和改進，重要的是我們能在這當中學到東西，并且之后加以改進。”

　　事實上這并不是蘋果高管第一次出面解釋這種事情，之前CEO蒂姆·庫克也曾面臨過這種局面。所以可以看出此次XcodeGhost木馬事件非同小可，畢竟影響范圍非常大，特別涉及到了國內(nèi)市場。

　　在席勒看來，此次事件其實是幾個因素共同造成的，蘋果有Gatekeeper及相關簽名驗證機制防護，但這次山寨應用的進入、以及Gatekeeper被關閉，使得黑客有機可乘。

　　針對未來的防護機制，由于Xcode服務器一直在國外，所以導致了中國開發(fā)者下載時間較長，這就使得部分開發(fā)者選擇一些非官方渠道下載，使得這一環(huán)節(jié)有機可乘，為了杜絕此類事件，席勒確定蘋果將把Xcode開發(fā)工具的下載從國外放到國內(nèi)，這是蘋果在服務方面第一次確認將下載放到國內(nèi)。

　　這次持續(xù)大約30分鐘的談話中，席勒沒有給出確定的時間表，但他非常強調(diào)已經(jīng)在快速行動，所有行動正在按部就班舉行，后續(xù)處理“已經(jīng)以小時來計算，而不是天”。

　　其實在此之前，蘋果發(fā)言人莫納漢（Christine Monaghan）就已經(jīng)表示過：“我們已經(jīng)從App Store刪除了這些基于偽造工具開發(fā)的應用。我們正在與開發(fā)者合作，確保他們使用合適版本的Xcode去重新開發(fā)應用。”所以針對此次XcodeGhost木馬事件，這已經(jīng)不是庫布提諾第一次表態(tài)了。

　　同時也有開發(fā)者認為此次事件會引發(fā)信任危機，一方面本次危機針對開發(fā)者發(fā)出了警告，敦促其避免使用來歷不明的開發(fā)工具；另一方面，官方?jīng)]有對開發(fā)者及時發(fā)出提醒，或許會造成信任危機。

　　附：蘋果官方發(fā)布的《有關XcodeGhost的問題和解答》

　　我聽說了由XcodeGhost 開發(fā)的惡意app —這是怎么回事？

　　我們一直建議開發(fā)者使用由我們提供的免費、安全的工具，包括Xcode，從而確保他們?yōu)锳ppStore的用戶創(chuàng)造出安全的app。一些開發(fā)者下載了已被惡意軟件感染的盜版Xcode，由此開發(fā)的app也同樣受到感染。

　　Apple特意使用諸如Gatekeeper等技術，以防止安裝從非AppStore渠道下載的應用程序，和/或安裝包括Xcode在內(nèi)的未簽名的應用程序。當開發(fā)者為了能安裝類似XcodeGhost等惡意程序時，這些保護措施會被刻意地禁用。

　　作為Apple向開發(fā)者提供的業(yè)界先進工具之一，以下措施可以確保軟件未被篡改：

　　·Xcodeapp有Apple的代碼簽名。

　　·從MacAppStore下載Xcode時，開發(fā)者的電腦系統(tǒng)自動對 Xcode 的代碼簽名會進行檢查和驗證。

　　·從AppleDeveloperProgram網(wǎng)站下載Xcode時，只要Gatekeeper沒有被禁用，默認開發(fā)者的電腦系統(tǒng)對Xcode代碼簽名自動進行檢查和驗證。

　　為什么開發(fā)者會不顧用戶的安全下載盜版軟件？

　　為了更快下載我們的開發(fā)者工具，開發(fā)者有時會從其他非Apple站點搜尋。

　　這會對我有什么影響嗎？如何得知我的設備是否受到了影響？

　　我們目前沒有任何信息表明這些惡意軟件與任何惡意事件相關，也沒有信息表明這些軟件被使用在傳播任何個人身份信息的用途上。

　　我們目前沒有看到任何客戶個人身份信息受到影響，而且代碼無法通過用戶身份請求來獲取iCloud或其他服務的密碼。

　　只要一經(jīng)發(fā)現(xiàn)這些app有可能通過惡意代碼開發(fā)，我們就對其進行下架處理。開發(fā)者們正在快速更新他們的app，以便用戶使用。

　　惡意代碼只能提供一些基本信息，比如app和一般系統(tǒng)信息。

　　從AppsStore下載app是否安全？

　　我們已將由該盜版軟件開發(fā)的apps從AppStore中撤下，并攔截了通過該惡意軟件開發(fā)的新app進入AppStore。

　　我們正與開發(fā)者緊密協(xié)作，以確保受到影響的app盡快回到App Store供用戶使用。

　　我們將在支持頁面上列出受此影響的前25個apps，方便用戶驗證他們是否已將這些app更新到了最新版本。

　　用戶還將會收到更多信息，以便了解他們下載的某app是否會存在問題。一旦開發(fā)者更新了他們的app，用戶可以通過在設備上運行更新解決存在的問題。

　　我們正努力讓中國的開發(fā)者可以用更快的速度下載Xcode測試版本。開發(fā)者也可以通過developer.apple.com/cn列出的步驟來驗證他們的Xcode是否被篡改過。