蘋果電腦無漏洞說法遭推翻
蘋果遭遇“微軟時刻”
業(yè)內(nèi)人士認(rèn)為���,在信息安全方面,當(dāng)前的蘋果就像是10年前的微軟��。
以下為文章全文:
“蘋果電腦更安全���,沒有漏洞�?���!边@樣的觀念已不再是事實。
我們已習(xí)慣于Windows
PC存在的各種漏洞�����。然而過去幾年���,Mac電腦���、iPad和iPhone也正在暴露越來越多的問題。2015年到目前為止,蘋果產(chǎn)品已曝光了5個重大漏洞�。
本周有報道稱,利用Mac電腦的一個漏洞�,黑客可以將病毒植入系統(tǒng)深處�����,而用戶無法發(fā)現(xiàn)�����。一周前�,iPhone被曝光存在一個漏洞,只需一條短信就能讓iPhone崩潰�����。這些問題很嚴(yán)重�����,但到目前為止尚未得到修復(fù)�。
每個系統(tǒng)、應(yīng)用和軟件中都存在錯誤的代碼��,但蘋果修復(fù)漏洞的策略已經(jīng)過時。蘋果以往曾宣稱����,該公司的產(chǎn)品比微軟的更安全,但目前已并非如此��。目前的蘋果與10年前的微軟非常相像�。
信息安全帶來麻煩
問題
計算機(jī)工程師、黑客���,以及熟悉蘋果策略的人士認(rèn)為���,關(guān)于信息安全,蘋果存在5方面的錯誤:
1.蘋果沒有定期進(jìn)行安全更新�����,更新頻率也不夠快
去年�����,蘋果花了100天時間才修復(fù)由谷歌工程師發(fā)現(xiàn)的一個問題����。2012年����,針對一個名為“Flashback”的惡意軟件��,甲骨文迅速發(fā)布了Java的一個補(bǔ)丁�����。然而�����,蘋果花了整整兩個月時間才發(fā)布補(bǔ)丁�。當(dāng)時業(yè)內(nèi)人士估計��,有65萬臺Mac電腦被這一惡意軟件感染�����。
信息安全研究公司Rapid7研究經(jīng)理托德·貝爾德斯利(Tod
Beardsley)表示:“與微軟不同���,蘋果似乎并沒有定期發(fā)布補(bǔ)丁的計劃���。他們也沒有像谷歌對Chrome所做的一樣����,持續(xù)發(fā)布安全升級�����。某些時候���,補(bǔ)丁發(fā)布速度很慢����。而在某些情況下�,補(bǔ)丁的開發(fā)確實比較困難?��!?
迅速發(fā)布補(bǔ)丁有時會起到反效果���。從這種意義上來說,蘋果對待漏洞就像是對待產(chǎn)品��。蘋果往往不會率先進(jìn)入某一行業(yè)����,而是計劃做到最好���。不過,長時間等待有可能導(dǎo)致嚴(yán)重的損失���,使蘋果產(chǎn)品的用戶容易受到黑客攻擊�,進(jìn)而造成個人信息被盜��。
2.保密性
蘋果通常不公開討論安全漏洞��。例如�,蘋果并未承認(rèn)Mac電腦最新曝光的漏洞����。盡管已確認(rèn)了iPhone的短信漏洞,并提供了如何解決漏洞的建議���,但蘋果并未公布漏洞的根本原因�����。
貝爾德斯利表示:“蘋果以非常神秘的方式去工作�����。關(guān)于確認(rèn)存在的安全漏洞���,蘋果以保密而著稱����?���!?
更好的透明度將引起用戶警覺,并促使蘋果開發(fā)者社區(qū)去研究如何修復(fù)漏洞�。從這一角度來看,保密是有害的��。
3.只對最新軟件進(jìn)行升級
如果用戶仍在使用老版本OS X系統(tǒng)���,那么蘋果不會為你提供補(bǔ)丁�。
例如�,蘋果今年4月修復(fù)了一個嚴(yán)重漏洞,但僅針對最新版本OS X系統(tǒng)“Yosemite”���。根據(jù)Net Market
Share的數(shù)據(jù)�,這意味著����,蘋果拋棄了47%使用老版本OS X系統(tǒng)的用戶�����。
蘋果的立場是什么?用戶可以免費(fèi)升級至最新版系統(tǒng)����。情況確實如此�����,但這樣做并不公平����。一些較老的筆記本已無法運(yùn)行最新版OS X系統(tǒng)���。
4.不愿付費(fèi)
對于查找漏洞的信息安全研究人員���,蘋果是唯一一家不愿支付報酬的主要科技公司。
此前有報道稱���,一些犯罪分子和間諜愿意以15萬美元的高價獲得iPhone的漏洞����。但蘋果在這方面卻一毛不拔。
5.不承認(rèn)錯誤
蘋果不認(rèn)錯的態(tài)度令許多信息安全研究人員感到失望��。例如���,在去年iCloud“照片門”期間����,蘋果CEO蒂姆·庫克(Tim
Cook)表示���,蘋果將加強(qiáng)信息安全舉措���。不過他認(rèn)為這是用戶的問題,“而不是工程開發(fā)的問題”����。
實際上,通過一些信息安全技術(shù)本可以避免iCloud明星裸照流出事件��,例如要求用戶啟用兩步驗證機(jī)制���。這是工程開發(fā)的問題��。最終���,蘋果也向iCloud加入了這樣的信息安全功能����。
與蘋果打交道并不容易���。信息安全研究員謝諾·科瓦(Xeno
Kovah)表示��,即使是在最嚴(yán)重的情況下��,例如當(dāng)他向卡耐基梅隆大學(xué)計算機(jī)緊急響應(yīng)團(tuán)隊報告一個嚴(yán)重軟件漏洞時����,蘋果也沒有像其他公司一樣積極響應(yīng)�。
他認(rèn)為:“蘋果在漏洞修復(fù)方面存在問題?��!?
2012年,蘋果平臺的684名獨(dú)立開發(fā)者發(fā)起了一項正式行動����,要求蘋果改善漏洞報告系統(tǒng)��。不過他們表示�,隨后并沒有發(fā)生什么改變����。
蘋果拒絕對這一報道置評。
微軟的做法
許多知名黑客表示�����,與微軟多年前類似����,蘋果的漏洞報告系統(tǒng)需要大幅調(diào)整。
15年前�����,Windows已經(jīng)是用戶最多的系統(tǒng)����,但也遭到很多人的厭惡。當(dāng)時的Windows系統(tǒng)漏洞很多�。隨后,微軟改變了策略。
2003年���,微軟啟動了“周二補(bǔ)丁日”計劃��。每個月���,用戶可以收到大量的安全更新。2005年�,微軟開始舉辦邀請參加的信息安全大會Blue
Hat,與信息安全研究者進(jìn)行面對面接觸����。然而,蘋果并未舉辦過這樣的論壇����。
微軟在信息安全方面最成功的一大策略是“漏洞報告獎勵機(jī)制”,這一項目從2013年開始����。通過此舉,微軟不再對抗黑客軍團(tuán)�����,而是將他們變成微軟的“保衛(wèi)者”��。
微軟前首席信息安全策略師�����、漏洞報告獎勵機(jī)制的執(zhí)行者凱蒂·穆蘇里斯(Katie
Moussouris)表示:“在對信息安全策略進(jìn)行有意義的調(diào)整之前��,微軟被大量漏洞所困擾��。希望蘋果也能快速解決這一問題�。”
那么����,為何蘋果在突然之間就遭遇了壓力?穆蘇里斯認(rèn)為,蘋果是“自身成功的受害者”�。蘋果產(chǎn)品已經(jīng)非常火爆�。更多的用戶意味著黑客會更關(guān)注蘋果的代碼,因此也就有更多漏洞被發(fā)現(xiàn)�����。
不過好消息在于��,蘋果正在傾聽公眾的意見,而調(diào)整即將到來�。
消息人士表示,蘋果已意識到這些問題��,而該公司正試圖改善與信息安全研究人員的溝通�����。目前主要的挑戰(zhàn)在于����,如何應(yīng)對快速增長。蘋果會接到大量可能的漏洞報告�,而蘋果的信息安全團(tuán)隊希望優(yōu)先關(guān)注更嚴(yán)重的漏洞,并區(qū)分真正的漏洞和誤報�����。
更多相關(guān)信息請關(guān)注佰佰安全網(wǎng)后續(xù)報道�!
相關(guān)閱讀:蘋果手機(jī)爆漏洞一個短信就能崩潰
為更好的為公眾說明安全知識的重要性,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖�,無任何商業(yè)性目的。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹���、評論某一作品或者說明某一問題����,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定。如果權(quán)利人認(rèn)為受到影響��,請與我方聯(lián)系���,我方核實后立即刪除。
