近日，多款知名社交、地圖、出行ＡＰＰ的ｉＰｈｏｎｅ版被爆出有“惡意代碼”，騰訊發(fā)布報告稱受影響用戶可能超過１億。記者多方采訪了解到，本次事件“源頭”叫Ｘｃｏｄｅ，受惡意代碼影響，由這款工具開發(fā)的ｉＯＳ版ＡＰＰ以及ＭａｃＯＳ的程序都會被影響，都存在泄露個人隱私的危險。

本次事件的主角是Ｘｃｏｄｅ，ｉＰｈｏｎｅ上的ＡＰＰ和ｍａｃ上跑的程序很多是用Ｘｃｏｄｅ寫出來的。除了蘋果公司的官方版本，還有一些非官方版本的Ｘｃｏｄｅ，在下載速度和方便性上，非官方版本有一定優(yōu)勢，因此很多國內(nèi)開發(fā)者也樂于使用。但是，這次引發(fā)問題的正是這些非官方版本的Ｘｃｏｄｅ。

對于本次安全事件，最權(quán)威的發(fā)布來自國家級網(wǎng)絡(luò)安全應(yīng)急機(jī)構(gòu)——國家互聯(lián)網(wǎng)應(yīng)急中心（ＣＮＣＥＲＴ）。１４日，ＣＮＣＥＲＴ發(fā)布《關(guān)于使用非蘋果官方Ｘｃｏｄｅ存在植入惡意代碼情況的預(yù)警通報》中提到，“開發(fā)者使用非蘋果公司官方渠道的Ｘｃｏｄｅ工具開發(fā)蘋果應(yīng)用程序（蘋果ＡＰＰ）時，會向正常的蘋果ＡＰＰ中植入惡意代碼。被植入惡意程序的蘋果ＡＰＰ可以在Ａｐｐ　Ｓｔｏｒｅ正常下載并安裝使用。該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。”

這意味著，只要用這款工具開發(fā)的蘋果ＡＰＰ，都有泄露個人隱私的可能。雖然沒有確定問題的嚴(yán)重性，但是ＣＮＣＥＲＴ的建議非常明確——“相關(guān)開發(fā)者或互聯(lián)網(wǎng)企業(yè)，在開發(fā)蘋果ＡＰＰ過程中，切勿使用非蘋果官方渠道的Ｘｃｏｄｅ工具”。

記者了解到，多款知名音樂、出行ＡＰＰ均由該代碼寫作。“騰訊安全應(yīng)急響應(yīng)中心”１９日發(fā)布報告稱，“我們發(fā)現(xiàn)Ａｐｐ　Ｓｔｏｒｅ下載量最高的５０００個ＡＰＰ中有７６款ＡＰＰ被ＸＣｏｄｅ　Ｇｈｏｓｔ感染，其中不乏大公司的知名應(yīng)用，也有不少金融類應(yīng)用，還有諸多民生類應(yīng)用。根據(jù)保守估計，受這次事件影響的用戶數(shù)超過１億”。

“３６０安全播報平臺”１９日上午通報稱，３６０安全團(tuán)隊“掃描了１４萬５千多個ＡＰＰ，共發(fā)現(xiàn)３４４款ＡＰＰ感染Ｘｃｏｄｅ　Ｇｈｏｓｔ木馬，其中不乏……用戶量很廣的ＡＰＰ，涉及互聯(lián)網(wǎng)、金融、鐵路航空、游戲等領(lǐng)域”，“目前已知漏洞會收集用戶信息以及模仿ｉＣｌｏｕｄ登錄界面要求用戶輸入賬號密碼”。

受影響ＡＰＰ也啟動補(bǔ)救工作。例如微信團(tuán)隊１８日晚就發(fā)布說明，稱“最新版本微信已經(jīng)解決此問題，用戶可升級微信自行修復(fù)，此問題不會給用戶造成直接影響”，“目前尚沒有發(fā)現(xiàn)用戶會因此造成信息或者財產(chǎn)的直接損失”。

對于可能受影響的企業(yè)或者用戶，這時能做些什么？記者多方了解到，目前一些安全企業(yè)已推出了相關(guān)安全檢測產(chǎn)品。其中，知名安全公司“啟明星辰積極防御實(shí)驗室”推出了企業(yè)級檢測軟件，盤古團(tuán)隊推出了面向個人用戶的Ｘｃｏｄｅ病毒檢測ＡＰＰ。

綜合來看，以往安全事件多是某ＡＰＰ的個體事件，但本次安全事件則算得上系統(tǒng)性事件。對此，安言咨詢總經(jīng)理張耀疆認(rèn)為，“這起事件反映了一種潛在風(fēng)險，即在用戶甚至開發(fā)商不知曉的情況下，也有泄漏所有個人信息的可能性。即使這次解決了，開發(fā)者也很難保證下次不出現(xiàn)類似問題，因為這不是一家能解決的問題，而是整個移動開發(fā)鏈條上的問題。”

“這次事件給整個業(yè)界提了個醒，開發(fā)及編譯工具應(yīng)該是需要‘重兵’把守的‘城門’。”資深安全專家林正隆表示。

對于本次事件的后續(xù)影響，啟明星辰副總裁歐陽梅雯告訴記者，“目前手機(jī)ＡＰＰ創(chuàng)業(yè)非常熱，大部分公司為了趕進(jìn)度，很多規(guī)則就模糊了。即使在安全實(shí)力很強(qiáng)的企業(yè)，業(yè)務(wù)部門也可能不太注重安全，搶著就把ＡＰＰ上線了。但一旦出現(xiàn)安全問題，不僅會對企業(yè)品牌產(chǎn)生負(fù)面影響，而且中招軟件的卸載率也會很高。”

對此，張耀疆、歐陽梅雯建議，眾多開發(fā)商提供的東西良莠不齊，很多中小企業(yè)不具備軟件自檢的能力，這類軟件在市場上流轉(zhuǎn)就隱藏很大風(fēng)險。因此，有關(guān)部門應(yīng)該建立一個不依賴任何企業(yè)的安全控制機(jī)制，把這些應(yīng)用管起來。此外，盡管本次事件影響巨大，卻似乎沒有任何人將為此負(fù)責(zé)，這也再次凸顯個人信息保護(hù)立法立規(guī)的重要性。