蘋果高管回應XcodeGhost事件：將把Xcode的下載放到中國本地服務器上

虎嗅注：這幾天，相信中國的蘋果用戶都過得有些忐忑不安。「XcodeGhost木馬感染事件」持續發酵，讓iPhone用戶多少有些緊張，甚至有的用戶已經卸載了相關APP。蘋果於9月20日承認其官方開發工具軟件Xcode遭到駭客攻擊，致使蘋果商店300多款APP被感染。雖然蘋果表示已經將被感染的APP進行了下架處理，但是顯然糟糕的影響還在。考慮到中國市場對蘋果日趨重要，不管是不是為了安撫中國用戶，蘋果公司全球市場營銷高級副總裁菲爾·席勒(Phil Schiller)罕見地接受了中國媒體新浪科技的電話連線採訪，就這一木馬感染事件進行了回應。原文標題為《獨家專訪蘋果高管：解讀Xcode事件關鍵問題》。

北京時間9月22日下午1點15分，蘋果公司的全球市場營銷高級副總裁菲爾·席勒(Phil Schiller)在美國電話連線新浪科技，就上周「XcodeGhost木馬感染事件」接受專訪，同時回答了一些與本次事件有關的關鍵問題。

此前，很多新聞事件發生後，這家總部遠在庫比蒂諾的公司通常會用自己的方式和節奏解釋一切，但本次事件，公司高級副總裁在晚上10點親自出馬，可以看出他們對此事的重視。

XcodeGhost事件始末

Xcode是蘋果公司官方出品的開發工具，運行在操作系統Mac OS X系統上，是目前開發Mac OS和iOS應用程式最普遍的方式，從某種意義上說，它是蘋果引以為傲的生態系統的根基。

這也正是席勒如此在意本次事件，並親自接受專訪的原因。

因為服務器在國外，中國大陸的開發者從官方管道下載Xcode並不容易，席勒在電話中也特意談到了這點：「在美國下載它只需要25分鐘，中國可能需要3倍時間。」

於是中國的部分開發者不得不通過一些非官方管道下載，這點導致部分開發者下載到了「山寨版Xcode」，其中含有XcodeGhost病毒。用山寨版工具編譯出的應用被注入協力廠商代碼，並上傳到了蘋果App Store應用商店，導致一般用戶下載了被感染的的應用。

席勒稱，蘋果公司一直建議開發者們用安全的開發工具來開發程式；並且有Gatekeeper及相關簽名驗證機制防護。但在這次山寨應用的進入、以及Gatekeeper被關閉，幾個因素放在一切，造成了XcodeGhost事件。

針對開發者的改進方式

因為服務器緣故，Xcode下載難的問題一直存在，但這次事件讓蘋果印象深刻。

席勒並沒迴避問題，在電話中他提到，蘋果公司正在對已經發生問題進行處理，這包括針對開發者和一般用戶等各方面的措施。

具體到開發者方面，蘋果要做的依然是從最開始杜絕XcodeGhost事件再次發生，席勒確定蘋果將把Xcode開發工具的下載從國外放到國內。

「完美的蘋果」出問題了嗎？

因為封閉的系統，以及軟件與硬體的緊密結合，蘋果公司一向被人們認為是安全的典範。

但這次，是蘋果的審核機制出問題了嗎？

席勒坦誠「沒有完美的系統，但是蘋果一直在進步。每次我們經歷一些，就能繼續進步，這個事件也是如此。這次我們學到了很多。」蘋果也在不斷提升自己。

就現在來說，蘋果構建的一整套安全機制依然有效，如果上架審核漏過了，就快速對受感染應用下架，並在之後聯繫了開發者，請他們用正版Xcode開發應用並進行更新。本次的處理流程也是這樣。

用戶如何知道他們是否受到影響？

蘋果在近期會公佈已經感染的25款應用名單，列在蘋果中國官網(apple.com/cn)，讓用戶查看和比對，如果在此前已經下載，一般用戶只要更新到最新版本的應用即可。

除了這25個應用之外受影響的用戶數量顯著下降。

一般用戶該注意些什麼？

在今天採訪之前，新浪科技已經對「XcodeGhost事件」做了全面解讀。我們提到：對於iOS用戶來說，首先不必太過慌張。XcodeGhost病毒目前只會上傳產品自身的部分基本資訊(安裝時間，應用ID，應用名稱，系統版本，語言，國家)等，不會涉及到個人資訊。

另外，感染製作者的服務器已關閉，已經不構成實質上的資訊洩露。在與席勒的談話中，他也確認說「目前沒有任何資訊表明這些惡意軟件與任何惡意事件相關或傳播了任何個人身份資訊。」

新浪科技在電話採訪後向一些開發者求證，因為蘋果優秀的「沙箱」機制，XcodeGhost的影響力有限，不會導致用戶資訊洩露，當然特別是在你的設備沒有越獄的情況下。

當被問及傳言所說 XcodeGhost 開發的應用是否也會對非越獄的設備發起諸如釣魚之類的攻擊時，席勒說「根據蘋果的調查，目前此類事情尚未發生。」

蘋果從這次事件中學到了什麼？

蘋果公司不對外界說未來的事，即便偶爾有隻言片語，也不會透露具體時間。

這次持續半小時的談話中，席勒仍沒有給出確定的時間表，但他非常強調已經在快速行動，所有行動正在按部就班進行，後續處理「已經以小時來計算，而不是天」。唯一還需要多一點時間的是，將Xcode的下載放到本地的服務器上。

就像前文所說，蘋果也並非完美，但一直嘗試改進使自己完美。通過這次事件，蘋果也從中學到很多，避免未來發生類似情形。