Apple幹部：Xcode事件の主要問題を説明

Appleのグローバルマーケティング担当上級副社長フィル・シラー氏は、米国のSina Technologyに電話し、先週の「XCodeGhostトロイの木馬感染事件」についてインタビューを受け、この事件に関連するいくつかの重要な質問に答えた。

これまで、多くのニュース事件が起きると、遠く離れたクパチーノに本社を置くこの会社は、いつもは独自のやり方とリズムですべてを説明していたが、今回の事件では、会社の上級副社長が夜10時に自ら行動を起こした。このことから、この件をいかに重視しているかがわかる。

XcodeGhostの全貌

Xcode は Apple が作成した公式開発ツールです。これは Mac OS X オペレーティング システム上で実行され、現在 Mac OS および iOS アプリケーションを開発する最も一般的な方法です。ある意味、Apple が誇るエコシステムの基盤です。

これは、シラー氏がこの事件を非常に気にかけ、自らインタビューに応じた理由でもある。

サーバーが海外にあるため、中国本土の開発者が公式チャネルから Xcode をダウンロードするのは簡単ではありません。シラー氏は電話会談中に、このことについても具体的に言及した。「米国ではダウンロードに25分しかかからないが、中国では3倍の時間がかかる可能性がある。」

その結果、一部の中国の開発者は非公式のチャネルを通じてダウンロードしなければならなくなり、その結果、一部の開発者は XcodeGhost ウイルスを含む「海賊版 Xcode」をダウンロードすることになった。海賊版ツールでコンパイルされたアプリケーションにサードパーティのコードが挿入され、Apple App Store にアップロードされたため、一般ユーザーが感染したアプリケーションをダウンロードすることになった。

シラー氏は、アップルは開発者に対し、プログラムを開発する際には安全な開発ツールを使うことを常に推奨してきたと述べた。保護のために Gatekeeper と関連する署名検証メカニズムが存在します。しかし、模倣アプリケーションの出現と Gatekeeper の閉鎖により、いくつかの要因が重なり、XcodeGhost 事件が発生しました。

開発者向けの改善

サーバーの問題により、Xcode のダウンロードが困難になるという問題は以前から存在していたが、今回の事件は Apple に深い印象を残した。

シラー氏はその質問を避けなかった。同氏は電話会議の中で、開発者や一般ユーザー向けの対策を含め、Appleが発生中の問題に対処していると述べた。

特に開発者にとって、Apple が行う必要があるのは、XcodeGhost 事件が再び発生しないように最初から防ぐことです。シラー氏は、AppleがXcode開発ツールのダウンロードを海外から中国へ移行することを確認した。

「完璧なリンゴ」に何か問題があるのでしょうか?

Apple は、そのクローズド システムとソフトウェアとハ​​ードウェアの緊密な統合により、常にセキュリティのモデルとしてみなされてきました。

しかし今回は、Apple のレビューの仕組みに何か問題があるのでしょうか?

シラー氏は「完璧なシステムなど存在しないが、アップルは常に改善を続けている。何かを経験するたびに、改善を続けることができ、今回の事件も例外ではない。今回、多くのことを学んだ」と認めた。 Apple も常に自らを改良し続けています。

現時点では、Apple が構築したセキュリティ メカニズムの全体セットは依然として有効です。掲載審査中に感染したアプリケーションが見落とされた場合、そのアプリケーションはすぐに棚から削除され、後日開発者に連絡が入り、正規の Xcode を使用してアプリケーションを開発および更新するように依頼されます。今回の処理フローは同じです。

ユーザーは影響を受けているかどうかをどうやって知るのでしょうか?

Appleは、ユーザーが閲覧、比較できるよう、感染したアプリ25個のリストをAppleの公式中国ウェブサイト（apple.com/cn）で近日中に公開する予定だ。アプリがすでにダウンロードされている場合、ユーザーはアプリを最新バージョンに更新するだけで済みます。

これら 25 個のアプリ以外では、影響を受けるユーザーの数は大幅に減少しました。

一般ユーザーはどのような点に注意すべきでしょうか?

本日のインタビューの前に、Sina Technologyはすでに「XcodeGhost事件」について包括的な解釈を行っていた。その記事で私たちはこう述べました: iOS ユーザーは、まず第一に、あまり慌てないでください。 XcodeGhost ウイルスは現在、製品自体の基本情報 (インストール時間、アプリケーション ID、アプリケーション名、システム バージョン、言語、国) などをアップロードするだけであり、個人情報は含まれません。

さらに、感染元サーバはシャットダウンされており、重大な情報漏洩には至っていない。シラー氏との会話の中で、同氏は「現時点では、このマルウェアが悪意のある事件に関連している、あるいは個人を特定できる情報を拡散したということを示す情報はない」とも認めた。

電話インタビューの後、Sina Technologyは一部の開発者に対し、Appleの優れた「サンドボックス」メカニズムにより、XcodeGhostの影響は限定的であり、特にデバイスがジェイルブレイクされていない場合は、ユーザー情報の漏洩にはつながらないことを確認した。

噂されているXcodeGhostアプリは、ジェイルブレイクされていないデバイスに対してフィッシングなどの攻撃を仕掛けることもできるのかと尋ねられると、シラー氏は「Appleの調査によると、これはまだ起きていない」と述べた。

Appleはこの事件から何を学んだのでしょうか?

Appleは外部に対して将来について語っておらず、たまに一言述べるとしても具体的な時期は明かさない。

30分間の会談中、シラー氏は依然として明確なスケジュールは明らかにしなかったが、迅速に行動しており、すべての措置は段階的に実行されており、その後の処理は「数日ではなく数時間で計算されている」と強調した。少し時間がかかるのは、Xcode をローカル サーバーにダウンロードする場合だけです。

前述のように、Apple は完璧ではありませんが、完璧になるために常に自らを改善しようとしています。 Apple はこの事件から多くのことを学び、今後は同様の事態を回避するよう努める予定です。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。