在刚结束的苹果WWDC大会中，苹果公布了App Store的最新数据。目前，苹果App Store已为开发者带来了700亿美元的收入，而这个数字还在增长中……

苹果App Store的日益壮大，很大一部分原因在于用户和开发者对于iOS的认可。其交互理念和可靠的安全性一直被津津乐道，但“安全”只是相对，而并非绝对。

噩梦，Pegasus

相信大家还记得“史上最高明移动黑客程序”——Pegasus，Pegasus就做两件事：完全接管iPhone，并像“幽灵”一样让用户永远无法发现。

Pegasus会大量的收集用户数据。每一条短信、每一个日程表、每一封电子邮件都会被收集并发送给黑客。它能够追踪手机用户的位置并将来自手机GPS的位置信息发送给黑客。它甚至能够下载用户的所有密码，并窃取该手机连接过的WiFi网络存储列表和密码。还可以窃听用户通话，甚至远程开启用户手机的麦克风。

iOS 9.3.5，这个版本就是为了抵御Pegasus的攻击而更新的。该版本修复了三个被发现的零日漏洞(指被发现后立即被恶意利用的安全漏洞)。

热更新，此非彼

3月8日，苹果向开发者推送警告邮件，宣布禁止在应用/游戏里面使用Lua或JavaScript脚本进行热更新(国内主要是使用rollout、jspatch的热更新技术框架)，否则APP将面临下架或禁止上架。据移动推广数据分析平台ASO100的数据显示，从6月13日到18日的一周，中国区共计下架超43000款软件，仅6月15日一天就下架了22233款。数据统计，从2016 年下半年开始，目前已经有超过10万个App被移除。

在iOS中有两种App更新方式，一种是在App Store内进行更新，更新时重新下载全部安装包，另一种就是“热更新”，设计者利用软件内的框架协议，允许软件从网络下载并运行调用可执行代码，对软件进行修改。用户只有在打开App时才会发现热更新包，更新时只需下载安装更新部分的代码，再次打开时即可。简单来说，热更新就是在用户打开App时遇到的即时更新。

热更新是一把双刃剑，对于修复bug的开发者来说，热更新可以帮开发者避免多次审核被拒造成的时间成本。但对于图谋不轨的开发者而言，热更新可以使其在更新后摇身一变，成为另外一款App。比如用户一直使用的一款新闻客户端，开发者可以通过热更新绕开苹果的审核，将另外一款App推送给用户，而用户基于对之前App的信任，可能对其选择直接安装，安装之后的App可能充斥着各种色情、引导性好评和付费弹窗。

而苹果对热更新痛下杀手的最根本原因在于，其在用户支付过程中，可能通过手段，拒绝交付给苹果30%的分成。正常的App版本通过苹果审核，上线后调用脚本，切换支付收款帐号……用户付费时并无差别，但款项则优先进入开发者本身的账户。这样，本应属于苹果公司的30%分成，就流入了开发者的口袋。

他们怎么说？

此前，国外安全产品厂商Zscaler公布的一组自家产品的数据，他们发现了iOS应用程序比Android App泄露了用户更多的隐私信息。从数据中可以看出，在4500万起事务中检测到的数据中，有大约20万起涉及被App泄露了用户数据。

Zscaler认为，iOS设备数据被泄露的占比达到了0.5%，即共有13万次操作。这些被泄露的数据中，有超过七成的泄露与用户的设备信息相关。因此可以看出，很多恶意软件的主动攻击方向还是设备的具体信息。

据著名源代码安全扫描软件CheckmarxCxSuite生产商的统计数据显示，在安全漏洞方面，iOS存在40%的高危漏洞，32%的中等风险漏洞，还有28%的低风险安全漏洞。与此同时，Android存在高安全风险的漏洞是36%，中等风险漏洞是25%，低风险漏洞是39%。由此可见，在系统安全本身方面，Android相对来说其实比iOS还要安全一些。