以一般认知来说,iOS 的安全性基本上都比其它平台来得要高,但今天下午被爆出的一场因非官方 Xcode 编译器引起的危机,却让人对这件事有了新的认识。昨日傍晚,国内著名漏洞报告平台乌云刊出了一篇来自 @蒸米spark 的投稿,文中指出某些由第三方渠道下载的 XcodeGhost 编译器其实暗藏恶意代码,通过其编译的软件通通自带后门,以小型木马的形式潜伏在用户的 iDevice 当中。
在那之后,安全专家 Palo Alto Networks 对此事进行了深挖,并且发现在国内用户量很高的网易云音乐已经中招。除此之外,一些独立开发者也开始了测试,结果令人不寒而栗,包括 12306、联通手机营业厅、中信银行动卡空间、同花顺、高德地图、滴滴出行、简书等在内的多款大牌软件居然都没能幸免。

消息一出,网络上一片哗然。虽然事实证明木马指向的服务器已经停止收集信息,但只要你之前在受影响的应用内进行过内购,相关的密码或是指纹数据就都已不再安全,建议立即更改并启用苹果的两步验证功能。而对开发者来说,请认准 App Store 这个唯一可靠的 Xcode 下载通道。出事的服务官方,别的不说,至少请先拿出点担当吧...