老虎嗅探：不久前XcodeGhost对国内iOS系统造成了巨大的安全威胁，但在安全威胁下隐藏着隐患。中国特有的网络环境为这些隐患提供了温床。严重程度往往是我们所不知道的，所以作者不禁高呼“不要低估安全问题的后果，特别是在中国的特殊网络环境中。”除了希望读者可以使用这篇文章来实现隐藏危险的严重性，我希望程序员和学生能够获得一些东西。

原文来自微信公众账号“ldquo;火炬的作者谬论和邪恶，原始标题是《墙、感染、信任和欺骗》。

最近，XcodeGhost引起了严重的安全问题。我相信每个人都从各种渠道学习。简而言之，有人在中文网站目录和论坛上传播了经过修改的Xcode。此版本的Xcode将添加一些可以远程控制到编译应用程序的代码，并将数据发送到服务器。这是自iOS出现以来尚未越狱的最大安全威胁。在此之前，Apple的Sandbox模式几乎没有遇到任何挑战。 iPhone用户甚至大量的iOS开发人员认为该系统是坚不可摧的，不可能遇到问题。

当XcodeGhost开始被媒体报道时，很多人都大大低估了它的风险。在黑云报告此问题的那天，我在朋友圈中建议大家先删除中兆的应用程序，并立即修改iCloud密码以打开两步验证。甚至很多人都反对，而且有几个iOS开发者告诉我这不是一个大问题，因为iOS有一个Sandbox，它不会造成任何伤害。当时，网易还发布了关于云音乐感染的描述，这类似于无痛的语调。这些论点当然是非常错误的。有这样一个想法，因为它只是从程序员的角度来看。如果您对安全问题稍微敏感，您会立即意识到这是一个非常严重的威胁。一点想象力都会让人害怕。

大多数所谓的安全威胁使用社交工程（通常称为：欺诈）来实现他们的目标，因为他们可以访问非常有限的资源。例如，您是否认为其他人看到您的地址簿是个问题？许多人认为虽然他们不舒服，但没有威胁。事实上，诈骗者会从地址簿中挑出父母的电话并打电话给他们撒谎。所以，这没有iOS的沙盒。如果您可以保护系统的安全性并不重要。只要我有机会控制您信任的应用程序上的弹出对话框，我就可以使用此对话框骗取您输入系统的重要密码。程序员应该充实他的想象力，不要将他的眼睛限制在“系统赋予我什么权利”，而是扩展到“如果我完全信任，我能做什么样的欺骗”。

我不会在这里讨论太多直接的安全问题。毕竟，很多人都对此进行了分析。经过几篇非常不完善的文章，大大低估了对这一事件威胁的分析，腾讯给出了相当详细的分析。这更符合我的观点，而且问题的严重性非常清楚。在腾讯的分析中，据说OpenUrl可以用来操作用户拨打电话。同样，iOS开发人员称“OpenUrl无法控制iPhone通话”。事实上，OpenUrl可以弹出一个带有固定电话号码的弹出窗口，其中包含“拨号”和“取消”按钮，这实际上不是直接呼叫，但如果你给1000万用户弹出一个这样的窗口，一个特定的环境，有多少人会去“打电话””？如果程序员没有提高想象力，请始终将安全问题和功能限制在系统文档中。可以做些什么？在此范围内，软件的安全性确实难以信任。

具体的安全问题有更多专业人士推广，本文不多说，这里我想谈谈信任。在这次事件中，有些人还记得Ken Thompson（Unix/C语言前身B/Go语言的直接撰稿人，不称为Unix之父）在1984年的一次演讲中发表的演讲。在演讲的中间，Ken谈到了他在20世纪70年代戏弄贝尔实验室同事的恶作剧。在此期间，实验室中的所有Unix系统，Ken都可以使用最高权限登录，并且同事反复检查用户。 ，权限，甚至当时使用的Unix代码，都没有找到后门，令人费解。 14年后，肯只在这次演讲中透露。后门实际上隐藏在他编写的编译器中。用编译器编译Unix系统时，后门放在编译系统中，但Unix本身代码很干净，所以同事无论如何都找不到问题。 Ken演讲中提到的核心问题不是如何入侵操作系统，而是信任。标题为“信任信任的思考”（我将其转化为“深入思考我们信任的可信度”，以下简称RoTT），明确强调了这一点。

在20世纪80年代，许多人使用这种方法为开发工具添加各种shell和后门。但是，当时的网络条件并不好，很难产生大规模的影响。许多案例发生在相对封闭的内联网和教育网络中。 Ken的戏弄同事的原始案例也可以看作是内部网的传播。可以说RoTT的影响被低估了，因为在现实世界中拥有适合它的条件太困难了。从历史上看，虽然有很多安全事件引起的底层代码漏洞（比如以前的OpenSSL心脏出血漏洞，你可以参考我的其他文章，阅读原文），但是直接通过后门做了基本的工具，由此产生的大规模安全事件从未真正发生过。该方法通常用于有限范围的网络，例如在线早期教育或公司网络中。那时，很容易在内联网上传播有毒的软件。

在互联网上，如果你想重现Ken的案例，你首先需要找到一个可信的源感染，这已经非常困难了。以此事件为例，在正常情况下，用户通过Mac App Store下载Xcode。在下载和安装过程中，OS X本身将为用户执行加密签名验证，确保下载的内容确实是Apple最初分发的软件，以便可以将其安装在用户的计算机上。如果你想在Xcode中嵌入一个后门，你必须首先找到Apple服务器的漏洞，以便有机会上传更改的包，并获得Apple的私钥签名，以便安装在用户的电脑。但是，如果同时满足这两个条件，它已经一目了然，有些更可靠，更有利可图。谁愿意去感染Xcode呢？

因此，只能在相对封闭的网络环境中播放此技巧。在20世纪80年代，该网络远未在今天开发。更多的下载和网络活动分布在主要组织的网络中，例如大型企业的内部网络。与互联网相比，这些内部网络网络将更快。人们倾向于从内部网络获取软件。这使入侵者（通常是商业间谍）有机会通过更换内容软件来入侵公司。但是，内联网引起了另一个问题。在封闭的网络下，入侵者获取的数据不容易被拿走，并且有必要返回内联网以获得先前的结果。这些特性使得这种做法在小范围内始终有效，并且公共网络的价格也不高。

这个XcodeGhost活动将激励很多人。中国目前的网络环境在20世纪80年代类似于企业内部网，但规模远大于内联网，并不难进入。因此，一些在20世纪80年代流行但没有引起大规模影响的方法有机会在中国环境中重新应用并产生巨大影响。之前的合作是复制到中国，现在可以在30年前复制安全问题。

Ken的演讲得出结论，你不能相信你自己没有写过的代码。在软件仍然很小的20世纪80年代，有可能实现这一目标。今天，任何工作都需要基于大量现成的软件。换句话说，你必须相信其他人来制作产品。今天的可信环境变得更加重要。

但在中国，由于GFW的存在及相关政策，很难获得可信的环境。在这种环境下，大量的外国网站无法访问或难以访问，许多害怕麻烦的人会使用国内替代品。这一事件的影响是巨大的，因为通过Apple官方频道升级Xcode的速度太慢，至少10个小时，几十个小时，可能中断和重新下载。从国家下载Xcode肯定是错误的，但在这样的环境中并不完全不可理解。考虑到Internet下载速度只有50K，当内网速度可以高达10M时，谁不会从内网下载？什么？

用一个真实的例子来形成一个比喻。让我们说，在骗子收到你父母的电话后，他们会打电话给他们撒谎。例如，告诉您的父母您发生车祸并需要钱。这个技巧成功的先决条件是阻止你的父母去看你验证真相，因此诈骗者将使用各种方法来骚扰你的手机，迫使你关闭或保持忙碌。这样，您的父母和您的联系人将被断开连接，他们无法找到您进行验证，并且骗子更可能被信任。在这次事件中，GFW使人们无法访问国外可信赖的网站，或者访问速度极慢，这就像迫使你走线或关闭，这样人们只能从不值得信赖的地方获取软件。

GFW已将中国最初开放的互联网环境变成了一个巨大的内部网或中国局域网。除了速度和难以访问的影响之外，各种DNS中毒，电信运营商干扰也是一个严重的问题，并且您获得的DNS结果通常不一定可信，并且运营商尝试在HTTP请求中插入广告。行为，往往导致正常的应用程序性能异常，而这些混乱的问题经常会发生变化。今天你可以处理这个，你可能需要在下周改变一种方式。要维持可靠的软件环境需要付出很多努力，并且愿意付出更少的人付出代价。

在这种环境下，我们可以信任什么？网络链接不受信任，运营商不受信任，DNS不受信任，大型企业不受信任。这更加荒谬。如果您处于正常的网络环境中，很难相信Apple或Google会损害您的用户。因为这与他们的兴趣直接相关，所以他们总是试图保护他们的用户。但在中国，如果你敢相信百度，它基本上意味着你将在生活的各个方面遇到问题。用百度检查搬家公司，骗你不讨论，用百度查快递电话，骗你，你没有讨论，用百度检查医院，你猜怎么着？这真的是欺骗你的问题。它不再是一个隐喻。您必须信任百度的软件，它更有趣，为您提供百度在您的计算机上安装的所有软件是莫名其妙的。人们称这种不请自来的礼物叫百度家庭桶。成为一家致力于伤害中国境外用户的大公司真的很少见。

在中国的网络环境中，这一事件本身造成的危害更加危险。事件发生后，我告诉我的朋友们立即删除所有受感染的软件，直到问题得到解决。有人说黑客自己的网站已经关闭，没有危险。说这个当然是错的，因为在整个中国DNS中毒和劫持，创建一个具有相同域名的网站并不简单。例如，到游客聚集的地方，带路由器，创建没有密码的WIFI热点，等待人们上来，劫持XcodeGhost在这个热点上使用的域名，你可以使用已经中毒的应用来骗取iCloud密码。这些非常容易实现，并且不会低估安全问题的后果，特别是在中国的特殊网络环境中。

目前，中国的网络环境和食品安全有许多共同点。你不能相信路边的小餐馆，但与此同时你不能相信昂贵的餐馆。你不能相信在蔬菜市场买的肉，但在超市买的肉不太可靠。一切都在背后是土壤和水的整体污染。也许一个好的餐厅可能不会打算毒害其客户，但他们也很难确保他们的原材料供应商是可靠的，并且所有使用的材料都是可靠的。这是一家餐馆。不可能的能力。例如，在奶粉发生三聚氰胺事件之前，追求它的餐馆可能会觉得我没有使用奶粉作为未知来源。我用了大品牌三鹿，伊利。这是对客户负责吗？不幸的是，这些大品牌都是一样的。问题。这不是餐馆想要的。他们也是受害者。这就像网易云音乐这一事件。他们真的不打算挂起自己的用户，但像网易和腾讯这样的大公司也是这样。

相对封闭的iOS仍然如此（单一开发工具，单一软件分销渠道，独家封闭系统iOS，独家硬件iPhone）仍然会有这么大的问题，想想Android？ Android官方网站几年前被封锁了。访问，大多数开发人员是从国内渠道下载的开发工具。该应用程序安全可靠吗？有无数国内繁忙的Android皮肤称自己为“操作系统”供应商。他们可以保证他们的定制Android版本是安全的吗？他们是否拥有真正的操作系统供应商级功能？此外，他们能否保证他们使用的开发工具是安全的？每个手机制造商都迫不及待地想要做自己的Android应用下载频道。他们能保证在这些渠道上分发的应用程序的安全性吗？甚至，他们能保证下载市场安全吗？请继续联想。有朋友告诉我你想要更多，Android需要这么多麻烦，国内环境是木马。真实情况可能只会被描述为悲剧性的。顺便说一句，据说Google希望Play商店进入中国并提供审查版本。很多人都说这是谷歌的妥协。我不认为这是妥协。中国的内部Android环境太糟糕，威胁着全球生态。谷歌必须自己解决这个问题。因此，一旦Google Play真正进入中国，请记得立即使用Play商店作为您唯一的Android软件下载频道，即使它不易使用，也不是中国的国情，甚至有点愚蠢和愚蠢;记住，安全比方便更重要。

在这些前提下，认真考虑肯的讲话中提到的要点，并深入思考我们信任的可信度更为重要。什么是可信的？开发工具是否可信？操作系统可信吗？您认为下载后，请确认md5或sha512应始终可信，但您使用哪个工具来计算sha？你怎么知道这个工具本身是可信的？在一个难以与真实来源沟通的封闭环境中，没有办法谈论所谓的信任。

在中国目前的环境中，很难直接应用成熟的软件开发和管理流程，除非团队必须确保每个人都必须翻墙，必须使用谷歌检查信息，不得信任国内网站。你的团队有习惯用百度检查信息，沿着国内论坛的链接从百度网盘或迅雷下载工具，不知会造成多少麻烦。这一事件充分证明了这一点。我认为腾讯一开始不应该有任何问题，因为我知道腾讯拥有良好的网络环境，但最终，微信也招募了这一点，这是不幸的。我们恶劣的环境改变了工程师的习惯，甚至改变了教育。即使在腾讯这样一个良好的网络环境中，也有人会去百度检查信息，并用百度下载开发工具。正如许多国际学生仍然在美国使用百度搜索一样，环境变化不能直接扭转已经完成的用户习惯。

具有讽刺意味的是，具有中国特色的现实世界限制了发生大规模安全灾难的可能性。例如，中国拥有相当严肃的网络监控，审查和实名制，以及互联网公司必须保留（并向相关部门开放）的各种用户数据，互联网与世界半脱节。当出现这样的问题时，有必要到达起动器相对简单。在现实世界中，只要您在论坛上发帖，就可以一分钟到家里检查水表。这可能是“遗憾的+不幸”;在相互抵消之后，它产生了一点点运气。

很多年前，我说招聘工程师有几个原则。例如，您必须使用Google而不是百度。你必须翻倒墙而不是使用国内替代品。您必须优先使用外国工具。人们常常认为这种需求过于苛刻，甚至被认为是被迫的。这一事件告诉我们，这些良好的习惯确实是工程师的第一道防线。融入世界主流可以减少许多中国特色的麻烦。虽然保持这些良好的习惯需要很小的代价，但事实证明这些成本是值得的。

这种网络环境对我们这一代的工程师来说是一种耻辱，但我们非常生气，无能为力，这是这个时代最令人伤心的事情。

我们怎么能这样做呢？当我写这篇文章时，我在想，每个人都应该快速传播它，因为我认为它很快就会被删除。这是无能为力的具体表现。

顺便说一句，1996年，在肯的案例的启发下，我写了一部科幻小说，其中一种病毒使用编译器作为感染源并最终感染了操作系统。在此操作系统上，它将确定用户的指令是否会对其造成损害。如果它是一个有害的指令，它将假装执行它，并且它实际上没有被执行，因此它可以逃脱反病毒软件并手动删除它。这也是一个信任问题。在这种环境下，没有可信的东西。此病毒将持久存在于操作系统中，并附加到此计算机上制造的任何软件上。在打开计算机的无线网络时代，病毒可以高速传播。最后，人们找不到干净的计算机来编写一个非常干净的操作系统。 （在20世纪90年代没有无线网络。当时，即使是有线网络也不受欢迎.Sun仍然声称网络是一台计算机。那时，当时连接到互联网的计算机也是如此。奢侈，但现在似乎…世界确实发展了。这样，找到一台没有连接到互联网的电脑并不容易。）

我不知道这个幻想中的病毒什么时候真的会出现…事实上，当工业和信息化部在过去几年推广绿坝时，我认为这是一个创造这种病毒的好机会。幸运的是，绿坝计划被放弃了。中国网络和政策环境的特殊性将有可能在未来创造一个适合该病毒生存的环境。就像这个时候一样，由于GFW的积极和潜在影响，Ken在20世纪70年代设想的RoTT在2015年流行。超过40年的时间跨度和hellip;着名科幻作家韩松说：“中国的现实已成为科幻小说而不是科幻小说”。深思熟虑。

最后，范冰XDash《增长黑客》写的一本好书，制作了一个小广告。事实上，很久以前，我答应他的下一篇文章，以帮助他推广它，但我也有意识地告诉他不要担心和hellip;他还说没关系。但可能我不认为我可以把它拖得这么久，哦啊…

Growth Hacker是一个刚刚被引入中国的概念。虽然它包含一个黑名单，但它与黑客系统不同，它威胁到本文中每个人的安全。这是枷锁，特技和单手挑战的突破。那种有规则的黑客。

无论您是创业，在大公司工作，还是只是业余开发工具或应用，您都不应错过这本书。毕竟，这只是让事情发生的一小步。将产品或服务传递给用户是一大步。

« 微软推出了两款限量版Xbox One S游戏机《权游》。 | GTX 1660 Ti：承诺主要产品的产品。触摸性价比门 »