3月份，安防领导厂商海康公司爆发了“安全门”事件，安全事件的关键字是“弱密码、缓冲溢出”，事件逐步平息的半年后，近日，海康的另外一起安全事件又凸显，这次关键字是iVMS-4500App的恶意代码问题。上次的安全事件由某省公安厅的一纸文件引爆，此次的安全事件，主要在国外的安防网站论坛发酵。

实际上，很多中国的公司通过在线论坛而不是直接从苹果公司获得苹果的开发工具（Xcode），分析认为海康公司在iVMS-4500 App开发过程中使用了此类工具并发布了App软件，从而导致了该版本的App 4500存在风险。海康公司美国/加拿大分公司在9.21发布说明，确认iVMS--4500的Ver4.2.0版本有安全问题，终止下载，并将使用Ver4.2.1版本代替，而之前的OS版本及安卓无此问题。

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具，是开发OS X 和 iOS应用程序的最主流工具。攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，建立开发环境。经过被污染过的Xcode版本编译出的App程序，将被植入恶意逻辑，包括向攻击者注册的域名回传信息，并可能导致弹窗攻击和被远程控制的风险。

实际上，Xcode非官方版本恶意代码污染事件并非仅仅发生在安防公司海康，通过各安全厂商累计发现的数据显示，当前(9.22)已确认几百个App受到感染，其中影响较大的包括高德地图、滴滴出行、58同城、优酷等应用的多个版本。从这个角度讲，海康公司也算终于是加入到一直努力转型的互联网公司行列了。

海外知名安防网站对此事的评价：海康公司一直宣称自己有3500名专业的工程师队伍并且是市场的No.1，但是客观地讲，海康公司也是被黑攻击的No.1，并且，逐渐让行业对其产品质量及工程师队伍水平产生质疑。海康公司的产品优势明显如性价比高、图像质量好、服务好、可靠性高，但是需要考虑其短期内多次爆发安全隐患，有必要评估其未来是否可能还会出现其他安全方面问题。

海外知名安防论坛对此事的争论：目前，国外知名安防论坛对此次海康的安全事件的评价不一，主要两派观点：一派认为炒作海康App的安全隐患是小题大做，该App本身是OS环境下的iVMS--4500移动应用而已，安装数量有限并且没有造成大的后果，且海康公司及时发现问题并通告用户，显示了大公司的专业性；另外一派认为，海康公司半年内出现两次安全问题，不是巧合而是暴露了其在流程控制、软件开发及安全管理方面存在瑕疵，做安防的公司不该如此频率出现安全问题，海康公司如果不真正重视安全问题，未来可能还会发生。

海康安全事件回顾：

2015年2月，江苏公安厅一纸通知声称，海康公司监控产品存在安全隐患，需要进行安全加固，清除漏洞，之后海康公告澄清弱密码问题及缓冲溢出问题。

2015年3月，海康公司宣布公司已成立安全应急响应中心（HSRC），负责接受、处理和公开披露公司产品的安全漏洞。同时，也主动与行业专家、实验室发起合作，旨在进一步加强网络安全建设，推动公司上下对产品安全问题的关注。

2015年3月，海康公司美国地区招聘了一名前Genetec公司员工作为软件产品经理，该员工曾为视频平台厂商Genetec工作了十年以上，现负责海康在北美地区的iVMS-4200/4500（Mobile App）及iVMS-5200平台及第三方集成等工作。

2015年9月，海外安防论坛曝光海康公司的iVMS-4500 Xcode安全隐患问题，并引起火爆争论，海康海外公司亦及时针对App安全隐患向客户及合作伙伴发布说明。

安天下总结：海康是非常优秀的公司，当产品有越来越多的海内外应用、当竞争对手遍布海内外的时候，当众多指标都是No.1的时候，被黑客黑及被媒体聚焦的概率是No.1也就不足为奇。两次安全门事件，确实也在一定程度反映了企业在安全管理方面还是有提升的空间。安全无小事，从这个角度讲，此次海外媒体热炒的App安全问题确实也不能说是小题大做，确实需要重视，但也没必要危言耸听，全面否定企业的优秀。未来网络地下黑产的泛滥与无孔不入对网络安全的要求会更高，而这要求企业具有更高的安全防范意识及科学管理体系。

本文部分信息及数据来源于国内外多个安防网站，安天下整理，评论，仅供参考~