近日,苹果XCodeGhost事件引发了全社会的广泛关注,由于开发人员从第三方渠道下载并使用了被植入恶意代码的iOS开发工具XCode,使得大量IOS App被注入了“后门”, 包括微信、滴滴出行、12306等在内的常用App都被感染。这次事件将导致严重的个人信息泄漏,目前估计受此影响的用户已达数亿。
这个安全事件所折射出来的是当前互联网软件安全领域仍然存在着严峻挑战,这促使我们必须深入地思考和应对这种新型的安全问题,包括:如何分析和评价软件开发工具的可信性和安全性?如何在移动软件审核中,监测和发现软件开发工具引入的恶意代码?如何在软件生态环境中,引入新机制和技术,避免使用有安全风险的编译器和开发工具,确保软件开发的安全性?
针对以上问题,CCF YOCSEF于2015年9月28日在京举办题为“从苹果XCodeGhost事件看互联网软件安全问题”特别论坛。本次论坛邀请犇众信息(盘古团队)创始人、CEO韩争光,360 涅槃团队负责人高雪峰和CCF YOCSEF荣誉委员、清华大学教授陈文光作了主题报告,中国科学院软件研究所研究员丁丽萍和北京永信至诚科技有限公司高级安全工程师孙义担任发言嘉宾共同就上述问题展开探讨。
有嘉宾认为本次XCodeGhost事件在国内爆发比较猛烈的原因之一是因为XCode下载速度非常慢,导致很多国内开发者愿意通过其他途径来下载更快速链接的XCode,造成国内受感染的App非常多,而其他国家的XCode都是从官方下载,可能就没有这个问题。与会者探讨了互联网软件安全的有效方法和策略,形成的观点有:一、从事软件安全开发时,除了技术以外,还应利用技术,预先产生一些可能遭到攻击的结果,发现对用户有用的保护措施;二、应加强对于软件开发人员对安全基本认知的培训,增强开发人员的安全意识;三、加强漏洞纰漏监管机制,国家或监管部门应制定一些标准,对开发的软件做安全认证;四、对于信息安全人才的培养,国家应和高校都应重视编译器教学,加强投入。尽可能从技术上避免编译器后门。
报告PPT链接:
苹果之殃:XCode幽灵病毒事件之谜-高雪峰[PDF]
细思极恐:XcodeGhost、黑产、隐私-韩争光[PDF]
编译器、开发工具与程序分析技术-陈文光[PDF]
犇众信息(盘古团队)创始人、CEO韩争光作报告
360 涅槃团队负责人高雪峰作报告
CCF YOCSEF荣誉委员、清华大学教授陈文光作报告
Panel讨论(左起谭陈文光、高雪峰、韩争光、丁丽萍、孙义)
执行主席王亮(左)和吴文峻(右)
京公网安备 11010802032778号