拒绝XCodeGhost，iUAP Mobile让移动应用更安全

拒绝XCodeGhost，iUAP Mobile让移动应用更安全

关键词：XCodeGhost，用友iUAP ， iUAP Mobile，移动安全

摘  要：苹果XCodeGhost病毒事件持续发酵，值得我们深思。为了应对这些威胁带来的挑战，用友iUAP Mobile通过覆盖所有端的安全机制，使安全策略能够延伸到每个端点。

这些天苹果又占据了各个媒体的头条。这次不是苹果又发布了新产品，而是XCodeGhost病毒事件持续发酵。据某安全报告平台显示，目前苹果AppStore有超过3000款应用感染了XCodeGhost病毒，甚至包括有大量用户使用的App，如微信、网易云音乐、网易公开课、同花顺、南京银行、南方航空、滴滴出行、12306官方订票软件等等。

在XCodeGhost事件浮出水面后，用友立刻对自己的移动产品（从移动平台到具体的App）展开检查。检查结果显示，用友的产品完全不受该病毒影响。

XCodeGhost是黑客通过诱使开发者使用被篡改的iOS和Mac应用开发工具XCode，之后将恶意代码注入到开发的应用中，让AppStore中的正版App带上了会上传信息的恶意程序。这是苹果公司首次被发现大量带有恶意程序的App成功绕开了苹果严格审核流程。

之前人们普遍认为：只要不越狱，只从官方应用市场下载App，iPhone和iPad就是安全的。现在这个神话破灭了。虽然苹果官方表示，已从AppStore里删除了这些基于伪造XCode开发的应用，并与开发者联系，确保他们使用正确版本的XCode重新开发并更新App。但是苹果iOS的安全机制已经受到质疑。

此次XCodeGhost事件值得我们深思。特别是在企业移动领域，随着移动技术的进步，能够访问电子邮件和企业业务数据的移动应用得到广泛使用，是否在办公室办公已变得不那么重要，员工可以在移动设备上访问、存储敏感的企业数据和个人数据。移动技术给企业带来机遇的同时也带来了新的威胁。

为了应对这些威胁带来的挑战，用友iUAP Mobile通过覆盖所有端的安全机制，使安全策略能够延伸到每个端点，解决移动开发者、企业、组织、最终用户面临的移动技术安全问题。

图：用友iUAP Mobile 安全机制

用友iUAP Mobile自身基于安全开发生命周期SDL作为软件开发的安全保证过程，遵循国家信息系统安全保护等级（GB 17859）和国际标准（ISO/IEC 15408）等安全标准。使用世界上顶尖的黑盒、白盒安全扫描工具确保用友iUAP Mobile的安全质量。

图：安全开发生命周期SDL

用友iUAP Mobile提供安全机制涵盖设备端、通讯、数据、服务器端安全，还提供包括认证、访问控制、管理、监控等安全服务，以此确保App自身的安全。同时该安全机制还可以融入现有的企业信息安全框架，支撑企业IT运维和信息安全管理。

在用友iUAP Mobile的安全基础设施上，提供统一的访问控制机制和控制策略，统一的数据保护，如加密解密、防篡改、签名验签服务，提供灵活可扩展的数据校验机制，统一的通讯安全，包括提供标准的网络传输加密，统一的回话安全管理，统一的安全配置管理，安全事件监控、安全事件自动响应、安全审计等功能。支持数字证书，提供灵活的安全扩展机制支持安全厂商提供的包括多因子身份验证在内的多种安全功能。