噜噜噜综合,又色又爽又高潮免费观看,综合无码一区二区三区四区五区,中文字幕无码人妻aaa片,四虎成人精品永久网站

從蘋(píng)果社區(qū)論壇下載了個(gè)Xcode編譯工具，卻不小心讓自己辛辛苦苦編寫(xiě)的App中了毒?最近幾天，這個(gè)消息已經(jīng)在朋友圈、新浪微博和各個(gè)新聞媒體刷屏了好幾輪。

這也許是迄今為止，所有蘋(píng)果應(yīng)用開(kāi)發(fā)者共同抵御黑客攻擊的一次最大規(guī)模戰(zhàn)役。在中標(biāo)的名單中，更多的應(yīng)用以天，甚至以小時(shí)的速度在不斷被刷新。

而很多云端存儲(chǔ)工具、下載工具“躺槍”，被用來(lái)傳播Xcode-Ghost的工具。

百度云的應(yīng)急響應(yīng)

9月18日，來(lái)自Palo Alto Networks和Apple Security Team的關(guān)于XcodeGhost的信息，立刻引起了百度的重視，信息提及黑客利用網(wǎng)盤存儲(chǔ)惡意工具，在很多非官方蘋(píng)果社區(qū)論壇傳播。

接到信息后，百度立即啟動(dòng)了最高安全緊急響應(yīng)流程，清查并關(guān)閉云盤上所有感染文件共享，并與友商密切合作，交換威脅情報(bào)，追溯傳染源。據(jù)了解，現(xiàn)在網(wǎng)盤的受感染文件都已經(jīng)被清理。

下載工具也是傳播途徑

幾天前，有網(wǎng)友吐槽用官方URL下載到了含惡意代碼的Xcode?？赡艽蠖鄶?shù)人并沒(méi)有注意到這條消息， 百度安全實(shí)驗(yàn)室X-TEAM負(fù)責(zé)人王宇十分敏感，第一反應(yīng)是下載工具的離線資源可能被污染了，并且很快就驗(yàn)證的確存在這種可能性。通過(guò)排查，國(guó)內(nèi)的多個(gè)知名下載工具都“躺槍”了。

“現(xiàn)在可以判斷，污染下載渠道這種攻擊方式的強(qiáng)大和影響程度，要遠(yuǎn)遠(yuǎn)超過(guò)Xcode被替換事件本身。因?yàn)榈降子卸嗌俟俜较螺d鏈接資源被污染?外界很難統(tǒng)計(jì)清楚?，F(xiàn)在我們掌握的情況，只是冰山一角。”王宇得出這個(gè)細(xì)思恐極的結(jié)論。

0day防護(hù)計(jì)劃幫應(yīng)用“滅火”

在百度安全實(shí)驗(yàn)室通報(bào)了這一發(fā)現(xiàn)之后，百度云安全立即啟動(dòng)了0day防護(hù)計(jì)劃，與迅雷等受影響的應(yīng)用取得聯(lián)系，向?qū)Ψ教峁┫嚓P(guān)漏洞信息。百度云安全方面表示，相關(guān)的漏洞細(xì)節(jié)需要等迅雷等廠商修復(fù)之后才會(huì)公布。

據(jù)了解，由于此次黑客攻擊的是用戶的客戶端App ，百度云安全通過(guò)0day防護(hù)計(jì)劃，以最快的速度了解了事件的來(lái)龍去脈，以及受影響的用戶范圍，已經(jīng)跟多家廠商取得聯(lián)系，以期盡快解除用戶的安全威脅。

百度云安全總經(jīng)理馬杰表示，百度云加速3.0、百度安全寶的用戶已經(jīng)自動(dòng)被納入到0day防護(hù)計(jì)劃的保護(hù)中。“我們也非常歡迎更多合作伙伴、企業(yè)加入這個(gè)計(jì)劃中，與我們一起共同應(yīng)對(duì)未知威脅，保護(hù)用戶的安全。”

工具警惕被人“當(dāng)槍使”

百度安全提示，關(guān)于此次事件的嚴(yán)重性，我們不應(yīng)該僅僅是關(guān)注事件本身，更應(yīng)該深層次思考事件背后透露的信息：

首先，網(wǎng)盤、迅雷等都是深受用戶喜愛(ài)的網(wǎng)絡(luò)工具，擁有億級(jí)以上的用戶。而同類型的產(chǎn)品在網(wǎng)上還有很多。此次事件非常典型，說(shuō)明對(duì)于上傳文件和下載內(nèi)容，服務(wù)提供商應(yīng)該在尊重用戶隱私的基礎(chǔ)上， 提高安全檢測(cè)的門檻，防止被黑客“當(dāng)槍使”。

其次，種種跡象表明，這次事件顯然是經(jīng)過(guò)了詳細(xì)周密的策劃，并非黑客在澄清微博中說(shuō)的“僅為測(cè)試”：第一，黑客注冊(cè)了沒(méi)有泄漏任何關(guān)鍵信息的域名;第二，據(jù)悉，此團(tuán)隊(duì)在Amazon上租用了AWS云主機(jī)，每月花費(fèi)高昂的費(fèi)用(有逃避國(guó)內(nèi)追查的嫌疑);第三，黑客在澄清微博中刻意隱瞞了三個(gè)重要信息，包括用釣魚(yú)提示框騙取用戶輸入用戶名和密碼，劫持官方URL并且在代碼中植入廣告后門，以及記錄用戶在剪切板上的用戶名和密碼等關(guān)鍵信息。

第三，我們更應(yīng)該關(guān)注，污染包括下載工具、運(yùn)營(yíng)商下載通道等在內(nèi)的下載途徑，已經(jīng)成為地下黑色產(chǎn)業(yè)鏈牟利的重要方法，這可以大大增加惡意軟件的影響范圍。在普通用戶吐槽網(wǎng)盤、迅雷的時(shí)候， 可能并不明白其實(shí)他們也是這次事件的受害者。因此，相關(guān)企業(yè)應(yīng)該徹查安全隱患，排除脆弱點(diǎn)，對(duì)自身的安全體系和安全管理進(jìn)行完善。