XcodeGhost

MD5： 　　在上一篇《 Servlet的学习之Session（5） 》中，为了能使获取的所有随机数都能有相同的位数，我们采用MD5获取随机数的消息摘要（或称数据指纹、数据摘要等等）。 　　MD5可以将所有的数字组合进行一个算法的运算得出一个新的数字组合，并且这个新的数字组合都是128位，也称为MD5码。MD5码是不可逆的，即无法通过MD5码来进行反向运算得到原始的数据。MD5的应用场合非常多，比如保存用户密码（防止数据库中用户密码被管理员看到，所以数据库中的密码不许使用明文密码），或者文件校验（防止下载的文件是被别人修改后的文件而不是官方原文件，比如苹果开发工具的XCodeGhost事件），或者光盘破损校验等等。 　　在Java中通过MessageDigest对象来调用方法获取某些数字组合的MD5码（顺便说一句，MessageDigest也可以用来获取SHA校验码）。通过MessageDigest对象调用digest方法来将数字组合转变为字符数组： 1 String data = "1"; 2 3 MessageDigest md = MessageDigest.getInstance("md5"); 4 byte[] md5 = md.digest(data.getBytes()); 5 6 　　System.out.println(Arrays.toString(md5));

今年9月，苹果XcodeGhost事件引发了全社会的广泛关注，堪称App Store自2008年上线以来遭受的规模最大的攻击，涉及应用之广已完全超过想象，由此折射出当前互联网软件安全领域仍然存在严峻挑战。在MDCC 2015移动开发者大会的 平台与技术-iOS专场 ，阿里巴巴资深安全工程师郑旻（蒸米）复盘了整个过程，并讨论了可行的预防措施及事后思考。 然而，来自美国的移动应用开发商Possible Mobile最近遇到了一个问题，他们递交的新版应用遭到了苹果的拒绝，理由是XcodeGhost。这家公司大惑不解，因为他们遵循了严格的安全准则，使用的官方下载的Xcode编译器，启用了GateKeeper。在多次试错之后，他们终于发现XcodeGhost隐藏在第三方框架中。 以下为译文： 不久前，Xcode感染XcodeGhost病毒，让诸多iOS应用遭恶意代码植入的新闻一爆出，当即引发轰动。苹果因此从App Store撤出受感染的应用，并发布了一份FAQ（ 常见问题汇总 ）。由于该事件主要发生在中国，而我们的公司为保险起见，一直坚持从苹果官方渠道下载Xcode，并启用GateKeeper，所以没受什么影响——直到最近出现了问题：我们向App Store提交了应用更新后的几分钟，收到了这样一封拒绝邮件。 Invalid Executable – The app in [REDACTED]