文/ 本站 盧鑫

本周各大媒體的科技頭條又被蘋果給霸占了，倒不是因?yàn)檫@家公司發(fā)布了什么新產(chǎn)品，而是因?yàn)椤癤codeGhost感染門”事件持續(xù)發(fā)酵，一時(shí)間讓不少人對(duì)“一向以安全性自居”的蘋果突然有了一個(gè)“新的認(rèn)識(shí)”。

事實(shí)上，蘋果挺冤的——XcodeGhost雖不能說與蘋果無(wú)關(guān)系，但也確實(shí)不是因?yàn)楫a(chǎn)品的漏洞所致。只不過，全球市值最大的公司是事件當(dāng)事者之一，同時(shí)全球規(guī)模最大的移動(dòng)市場(chǎng)又恰好因?yàn)椤皣?guó)情”而成為了重災(zāi)區(qū)……如此的組合效應(yīng)必然能讓媒體熱情空前高漲，關(guān)注度自然也蓋過了黃牛瘋搶iPhone 6s的消息。

于是，小編借題發(fā)揮一下，就著這次的“XcodeGhost感染門”，在本期的《易評(píng)》中為大家普及一堂“提高網(wǎng)絡(luò)、信息安全意識(shí)”的課——即便你不是蘋果的用戶，但“信息安全”是一個(gè)廣泛涉及每一個(gè)人的話題，尤其考慮到未來的汽車、家電甚至門窗都可能通過網(wǎng)絡(luò)被控制，一個(gè)基本且謹(jǐn)慎的自我保護(hù)意識(shí)（網(wǎng)絡(luò)和信息安全領(lǐng)域）顯得尤為必要。

既然話題從XcodeGhost引出，我們就先解釋一下這究竟是什么個(gè)東西。

簡(jiǎn)單說，任何人想要給蘋果的產(chǎn)品開發(fā)軟件應(yīng)用，就必然要使用到一個(gè)工具，即Xcode。這個(gè)工具可以通過蘋果官方渠道免費(fèi)下載，但也可以通過第三方下載平臺(tái)下載，譬如太平洋軟件下載中心、華軍軟件園、迅雷以及百度云盤等等（國(guó)外有softpedia等網(wǎng)站）……

從蘋果官網(wǎng)下載的Xcode，當(dāng)然是“原汁原味”。然而通過其他第三方平臺(tái)下載的，尤其是個(gè)人用戶通過迅雷和百度云所分享的Xcode，就很難保證是否被動(dòng)過手腳了。

而這一次所謂的“XcodeGhost感染門”，正是有“分享者”對(duì)原裝的Xcode做了修改，讓一款本來能正?！吧a(chǎn)”軟件的工具，“病變”成為了“只能產(chǎn)出畸形胎兒的母體”——這好比對(duì)一位母親進(jìn)行DNA破壞，讓其新生兒先天性的“繼承”遺傳疾病一樣。

因?yàn)楸恍薷倪^的Xcode在功能上與原裝Xcode并無(wú)異，因此一般用戶，即使是有“技術(shù)宅”之美稱的開發(fā)者們，也很難有所察覺。

那么，既然是“病毒”，是“惡意代碼”，安裝防毒軟件不就解決了嗎？非也！

防毒軟件不是萬(wàn)能的；防毒軟件永遠(yuǎn)都是追在病毒后面跑的；有一些像是安全漏洞的代碼，防毒軟件是查不到的！

也許一些網(wǎng)友會(huì)不太認(rèn)同小編的說法，那么接下來小編就大致解釋一下防毒軟件的運(yùn)行機(jī)制，為自己的論點(diǎn)做一個(gè)論證。

防毒軟件，或者說殺毒軟件，單從字面就能看出是以“防護(hù)”為目的而設(shè)計(jì)的?！胺雷o(hù)”是一種被動(dòng)手段，需要等待對(duì)手的主動(dòng)出擊，才能有所發(fā)揮。

這里的“對(duì)手”是誰(shuí)呢？病毒的制造者、黑客們——少則數(shù)以萬(wàn)計(jì)，多則數(shù)以百萬(wàn)計(jì)。沒有人知道他們是誰(shuí)，會(huì)在什么時(shí)候、什么地方出現(xiàn)，也無(wú)法預(yù)測(cè)他們會(huì)使用的編程語(yǔ)言，以及會(huì)利用的安全漏洞和傳播方式。正所謂“敵暗我明”，因此只能“順勢(shì)而為”。

當(dāng)然，也有所謂的“主動(dòng)防御，主動(dòng)查殺”技術(shù)，但這種防毒引擎通常都只能根據(jù)程序的行為來進(jìn)行判定，譬如在系統(tǒng)后臺(tái)可疑的搜集信息或串改系統(tǒng)文件等?？墒遣⒎撬械膼阂獯a都具備這樣的特征，至少XcodeGhost就不需要這么做。我們甚至還可以換個(gè)角度來思考，如果“主動(dòng)防御”真那么有效，防毒軟件還需要每天好幾次的更新病毒庫(kù)干嘛？

所以，小編并不是在刻意詆毀防毒軟件的價(jià)值，只是想強(qiáng)調(diào)——過分從心理上依賴它們，并不能獲得一個(gè)真正的安全。這就如同我們的身體，不可能總是依靠藥物來維持健康。要想獲得真正的健康，就必須有意識(shí)地主動(dòng)去避免給病毒入侵我們的機(jī)會(huì)。

這種主動(dòng)避免提供機(jī)會(huì)的行為，在信息安全領(lǐng)域可具體表現(xiàn)為：

不使用盜版——小編知道有“國(guó)情”在，但是如今開源越來越盛行，很多優(yōu)秀的商業(yè)軟件其實(shí)都已有了對(duì)應(yīng)的開源替代品，譬如很多人在用的虛擬機(jī)軟件VMware Workstation，其開源替代品為VirtualBox。前者售價(jià)250美元，后者完全免費(fèi)。至于孰優(yōu)孰劣，則仁者見仁智者見智?？傊谛【幍膶?shí)際使用中，并沒有感覺到免費(fèi)的VirtualBox有任何功能性的不足。

不授予程序不必要的權(quán)限——這本來是Linux操作中最基礎(chǔ)的概念，但如今隨著智能手機(jī)廣泛普及，其重要性已經(jīng)被提升到了必須要讓每一個(gè)用戶都銘記在心的地位。就以使用人數(shù)最多的Android系統(tǒng)為例，安裝一款離線游戲應(yīng)用，竟然會(huì)要求獲得訪問聯(lián)系人名單的權(quán)限。而面對(duì)這樣無(wú)理的要求，又有多少人會(huì)選擇拒絕？

不訪問可疑的網(wǎng)站，尤其不在陌生網(wǎng)站上填寫賬號(hào)信息——“恭喜您贏得大獎(jiǎng)！請(qǐng)?jiān)L問xxx.com填寫兌獎(jiǎng)信息……”這只是小編隨便舉的例子，目的是想說，這個(gè)xxx.com請(qǐng)務(wù)必要看清楚了！譬如：163.com和163.com.cn是不一樣的，而apple.com和app1e.com就更加不同了！

不主動(dòng)運(yùn)行陌生應(yīng)用——有時(shí)候，我們的電腦或者手機(jī)里會(huì)莫名其妙地裝入一些不認(rèn)識(shí)的應(yīng)用程序，請(qǐng)不要因?yàn)楹闷娑蜷_來看看。如果光看名字就不認(rèn)識(shí)，那就不要點(diǎn)擊了。如果能刪除，則更應(yīng)該在第一時(shí)間就將其給除掉。至于要問為什么這些軟件會(huì)在“不知情”的情況下入駐我們的設(shè)備？拋開“預(yù)裝”的情況不談，剩下最大的可能就是在運(yùn)行（或安裝）某個(gè)程序時(shí)沒有仔細(xì)看清每一個(gè)環(huán)節(jié)，從而連帶安裝了不需要的東西。

不要不假思索地就將個(gè)人信息透過聊天工具發(fā)送出去，即使對(duì)方是“認(rèn)識(shí)的人”——首先，不通過視頻或者音頻通話，甚至都無(wú)法確定這個(gè)“認(rèn)識(shí)的人”就是其本人。如此貿(mào)然地將個(gè)人信息發(fā)了過去，難免有朝一日要成為詐騙集團(tuán)的受害者之一。此外，即便能證明“兒子就是兒子”、“爹就是爹”，也無(wú)法保證聊天工具或者WiFi網(wǎng)絡(luò)的背后是安全的（有沒有人正在竊聽？）。不是小編偏執(zhí)狂，在公共WiFi環(huán)境下（有密碼或者沒有密碼）想要通過“抓包”手段竊取其他聯(lián)網(wǎng)用戶的信息實(shí)在是太容易了。Github上就有大量現(xiàn)成的工具可用，甚至還有一個(gè)叫K*** Linux的發(fā)行版，就是專門用以“測(cè)試安全隱患”的（小編用*號(hào)略去名字，主要是不想散播不和諧的內(nèi)容）。

不要從非官方渠道下載工具——這里主要指QQ、XXX播放器、iTunes一類的軟件。這些軟件既然已經(jīng)免費(fèi)，我們就應(yīng)該盡可能從官方的渠道下載獲得。當(dāng)然，這次釀成大錯(cuò)的Xcode是因?yàn)楣俜较螺d速度極慢，所以才迫使開發(fā)者轉(zhuǎn)而使用國(guó)內(nèi)的“云盤”分享。出現(xiàn)這種被迫從第三方渠道下載內(nèi)容的情況，我們就更應(yīng)該多長(zhǎng)一個(gè)心眼，至少在下載完成后比對(duì)一下文件的“哈希值”。蘋果沒有為Xcode工具提供官方“哈希值”（蘋果的過失），所以小編用微軟MSDN網(wǎng)站上的Office 2016 Pro Plus作為例子，來解釋一下如何利用這個(gè)常見的加密數(shù)字：

加亮部分便是微軟官方提供的SHA1值（哈希值的一種）。下載好的文件，利用哈希值工具檢驗(yàn)，應(yīng)該會(huì)得到一個(gè)完全一樣的SHA1值。

上面說了很多個(gè)“不”，其實(shí)主要只想強(qiáng)調(diào)一點(diǎn)，即：作為使用者的你，必須要為自己的每一個(gè)操作負(fù)責(zé)，必須要三思而后行。

這確實(shí)不容易做到，并且會(huì)在日常生活中增加很多麻煩?？墒?，今天我們已經(jīng)走到了一個(gè)信息技術(shù)高度發(fā)達(dá)的時(shí)代，如果沒有培養(yǎng)一種良好的安全意識(shí)，生活愈是數(shù)字化、智能化，我們反而愈是將自己曝露于危險(xiǎn)之中。尤其當(dāng)家中的電器、門窗以及汽車都可以通過網(wǎng)絡(luò)控制以后（物聯(lián)網(wǎng)的終極表現(xiàn)），如果對(duì)于自己的所作所為仍然是“毫無(wú)概念”，恐怕未來的我們尚未等到被人工智能“征服”，就已經(jīng)被黑客給“玩死”了……

這里小編隨便舉個(gè)例子，譬如買WiFi智能門鎖的嘗鮮型用戶，你們真的了解這些設(shè)備的潛在安全風(fēng)險(xiǎn)嗎？WiFi連接是否安全只是其一，這里包括了弱密碼和WiFi加密技術(shù)等問題；智能門鎖對(duì)應(yīng)的手機(jī)端應(yīng)用是其二，手機(jī)端的各種安全隱患就不多說了，總之很多需要考慮的方面；其三還有門鎖的供電系統(tǒng)，也許很多人不會(huì)考慮到這一點(diǎn)——簡(jiǎn)單說，電子門鎖通常分為NO（默認(rèn)無(wú)電狀態(tài)為開）和NC（默認(rèn)無(wú)電狀態(tài)為關(guān)）兩種，而無(wú)論哪一種，設(shè)計(jì)上如果不夠精密，還是很容易可以通過“電與磁的合理運(yùn)用”而實(shí)現(xiàn)開鎖的……

當(dāng)然，小編略有些危言聳聽，但本意是希望能喚起大家對(duì)信息安全的注意。這種自我保護(hù)意識(shí)應(yīng)該從點(diǎn)點(diǎn)滴滴做起，不能借口“不是技術(shù)宅”、“不是我用的品牌”就漠不關(guān)心?！半[私”（私密數(shù)據(jù)）是每一個(gè)人都有的，從其他受害者身上學(xué)到保護(hù)自己的東西才是最重要。

（本文主觀性陳述僅代表小編個(gè)人意見，不代表本站觀點(diǎn)）