最近这几天，苹果的安全神话被打破，在AppStore上架的上千个APP被注入Xcode第三方恶意代码，会将用户信息发送到病毒作者服务器，受影响的用户可能达到一亿。

据悉，事件源于阿里移动安全资深工程师蒸米发布在乌云的一则分析报告《Xcode编译器里有鬼-XcodeGhost样本分析》，这份纯粹的技术分析报告引爆中国iOS生态圈。该报告指出，在第三方渠道下载的iOS开发工具Xcode被插入恶意代码，通过该恶意Xcode编译的APP会把手机隐私信息，如时间、bundleid(包名)、应用名称、系统版本、语言、国家等，发送到病毒作者的服务器上，导致用户信息被大规模泄漏。

截至发稿前，受XcodeGhost事件影响的APP近千，包括微信、网易云音乐、网易公开课、我叫MT、同花顺、名片全能王、愤怒的小鸟2等等比较熟知的应用。阿里移动安全建议广大用户及时删除中毒APP，待更新升级确保安全后再安装使用。开发者如需使用，务必从苹果官方渠道下载Xcode。

记者连线阿里移动安全总监行中，他表示，该病毒不止上传手机应用信息，还拥有更多的能力，它们有可能在iPhone/iPad上弹出钓鱼网站页面来骗取iCloud帐号密码，或者其他关键信息。基于安全的考虑，用户最好对涉及到的密码、支付方式等进行修改。

在谈到受感染APP的同时，记者发现，阿里一些核心应用如手机淘宝和支付宝钱包等均逃过此劫，未受影响。对此，阿里移动安全表示，阿里系复杂的应用类型以及庞大的应用发布数量，不断地对阿里移动安全的流程和产品提出更高的要求，阿里聚安全平台(http：//jaq.alibaba.com)应运而生。阿里聚安全拥有App风险扫描和漏洞检测响应机制，加上严谨的安全流程服务和统一集成打包上线平台“摩天轮”，能够安全稳定的保障阿里巴巴庞大的业务应用基础能力及无线安全的能力。

行中强调，阿里聚安全严谨的安全流程服务主要通过遵循阿里的安全编码审查实践，安全架构设计及审查服务SDL标准，覆盖APP开发全流程的SDL标准化服务接入，除此之外，“摩天轮”是阿里巴巴统一的集成打包上线平台，从项目设计所需的安全审计、无线应用开发遵循的安全模型、业务模块化、应用安全集成，安全能力的底层集成打包、发布均遵循统一的发布标准。以上一系列举措，是阿里安全能够从容应对类似XcodeGhost等各类安全事件的秘密武器，实时保护用户的切身安全。

事实上，中小开发者很少有能力做好复杂的安全防护工作，所以阿里已经把聚安全平台(http://jaq.alibaba.com)对外开放，希望能够向更多开发者和企业分享多年积淀的安全防护能力和体系。

关于阿里聚安全

阿里系复杂的应用类型以及庞大的应用发布数量，不断地对阿里移动安全的流程和产品提出更高的要求，阿里聚安全平台应运而生。阿里聚安全(http：//jaq.alibaba.com)拥有App风险扫描和漏洞检测响应机制，加上严谨的安全流程服务和统一集成打包上线平台“摩天轮”，能够稳定的保障阿里巴巴庞大的业务应用基础能力及无线安全的能力，从容应对各类安全事件。

1.通过长期有效专业的App风险扫描：依托于阿里专利保护的应用漏洞扫描引擎，检测隐藏在代码中的后门和恶意代码;

2.统一的集成打包上线平台“摩天轮”：从项目设计所需的安全审计、无线应用开发遵循的安全模型、业务模块化、应用安全集成，安全能力的底层集成打包、发布均遵循统一的发布标准。

3.阿里聚安全拥有严谨的安全流程服务：通过遵循阿里的安全编码审计实践，安全架构设计及审查服务SDL标准;覆盖APP开发全流程的SDL标准化服务接入;长期的安全知识和安全意识的培训，来保障应用的开发安全。

4.漏洞检测及响应服务，针对全球漏洞平台进行检测，跟踪，专业的分析和预警，在第一时间内了解漏洞真相并提供专业的漏洞响应方案。我们也通过输出各种维度的漏洞预警和响应机制，让客户和行业快速获取漏洞信息及修复方案，最大程度保护用户安全。