導語:CNN財經網站本周刊文稱,近期,蘋果產品被曝出了一系列嚴重的信息安全漏洞。業內人士認為,在信息安全方面,當前的蘋果就像是10年前的微軟。
以下為文章全文:
“蘋果電腦更安全,沒有漏洞。”這樣的觀念已不再是事實。
我們已習慣于Windows PC存在的各種漏洞。然而過去幾年,Mac電腦、iPad和iPhone也正在暴露越來越多的問題。2015年到目前為止,蘋果產品已曝光了5個重大漏洞。
本周有報道稱,利用Mac電腦的一個漏洞,黑客可以將病毒植入系統深處,而用戶無法發現。一周前,iPhone被曝光存在一個漏洞,只需一條短信就能讓iPhone崩潰。這些問題很嚴重,但到目前為止尚未得到修復。
每個系統、應用和軟件中都存在錯誤的代碼,但蘋果修復漏洞的策略已經過時。蘋果以往曾宣稱,該公司的產品比微軟的更安全,但目前已并非如此。目前的蘋果與10年前的微軟非常相像。
問題
計算機工程師、黑客,以及熟悉蘋果策略的人士認為,關于信息安全,蘋果存在5方面的錯誤:
1.蘋果沒有定期進行安全更新,更新頻率也不夠快
去年,蘋果花了100天時間才修復由谷歌工程師發現的一個問題。2012年,針對一個名為“Flashback”的惡意軟件,甲骨文迅速發布了Java的一個補丁。然而,蘋果花了整整兩個月時間才發布補丁。當時業內人士估計,有65萬臺Mac電腦被這一惡意軟件感染。
信息安全研究公司Rapid7研究經理托德·貝爾德斯利(Tod Beardsley)表示:“與微軟不同,蘋果似乎并沒有定期發布補丁的計劃。他們也沒有像谷歌對Chrome所做的一樣,持續發布安全升級。某些時候,補丁發布速度很慢。而在某些情況下,補丁的開發確實比較困難。”
迅速發布補丁有時會起到反效果。從這種意義上來說,蘋果對待漏洞就像是對待產品。蘋果往往不會率先進入某一行業,而是計劃做到最好。不過,長時間等待有可能導致嚴重的損失,使蘋果產品的用戶容易受到黑客攻擊,進而造成個人信息被盜。
2.保密性
蘋果通常不公開討論安全漏洞。例如,蘋果并未承認Mac電腦最新曝光的漏洞。盡管已確認了iPhone的短信漏洞,并提供了如何解決漏洞的建議,但蘋果并未公布漏洞的根本原因。
貝爾德斯利表示:“蘋果以非常神秘的方式去工作。關于確認存在的安全漏洞,蘋果以保密而著稱。”
更好的透明度將引起用戶警覺,并促使蘋果開發者社區去研究如何修復漏洞。從這一角度來看,保密是有害的。
3.只對最新軟件進行升級
如果用戶仍在使用老版本OS X系統,那么蘋果不會為你提供補丁。
例如,蘋果今年4月修復了一個嚴重漏洞,但僅針對最新版本OS X系統“約塞米蒂”。根據Net Market Share的數據,這意味著,蘋果拋棄了47%使用老版本OS X系統的用戶。
蘋果的立場是什么?用戶可以免費升級至最新版系統。情況確實如此,但這樣做并不公平。一些較老的筆記本已無法運行最新版OS X系統。
4.不愿付費
對于查找漏洞的信息安全研究人員,蘋果是唯一一家不愿支付報酬的主要科技公司。
此前有報道稱,一些犯罪分子和間諜愿意以15萬美元的高價獲得iPhone的漏洞。但蘋果在這方面卻一毛不拔。
5.不承認錯誤
蘋果不認錯的態度令許多信息安全研究人員感到失望。例如,在去年iCloud“照片門”期間,蘋果CEO蒂姆·庫克(Tim Cook)表示,蘋果將加強信息安全舉措。不過他認為這是用戶的問題,“而不是工程開發的問題”。
實際上,通過一些信息安全技術本可以避免iCloud明星裸照流出事件,例如要求用戶啟用兩步驗證機制。這是工程開發的問題。最終,蘋果也向iCloud加入了這樣的信息安全功能。
與蘋果打交道并不容易。信息安全研究員謝諾·科瓦(Xeno Kovah)表示,即使是在最嚴重的情況下,例如當他向卡耐基梅隆大學計算機緊急響應團隊報告一個嚴重軟件漏洞時,蘋果也沒有像其他公司一樣積極響應。
他認為:“蘋果在漏洞修復方面存在問題。”
2012年,蘋果平臺的684名獨立開發者發起了一項正式行動,要求蘋果改善漏洞報告系統。不過他們表示,隨后并沒有發生什么改變。
蘋果拒絕對這一報道置評。
微軟的做法
許多知名黑客表示,與微軟多年前類似,蘋果的漏洞報告系統需要大幅調整。
15年前,Windows已經是用戶最多的系統,但也遭到很多人的厭惡。當時的Windows系統漏洞很多。隨后,微軟改變了策略。
2003年,微軟啟動了“周二補丁日”計劃。每個月,用戶可以收到大量的安全更新。2005年,微軟開始舉辦邀請參加的信息安全大會Blue Hat,與信息安全研究者進行面對面接觸。然而,蘋果并未舉辦過這樣的論壇。
微軟在信息安全方面最成功的一大策略是“漏洞報告獎勵機制”,這一項目從2013年開始。通過此舉,微軟不再對抗黑客軍團,而是將他們變成微軟的“保衛者”。
微軟前首席信息安全策略師、漏洞報告獎勵機制的執行者凱蒂·穆蘇里斯(Katie Moussouris)表示:“在對信息安全策略進行有意義的調整之前,微軟被大量漏洞所困擾。希望蘋果也能快速解決這一問題。”
那么,為何蘋果在突然之間就遭遇了壓力?穆蘇里斯認為,蘋果是“自身成功的受害者”。蘋果產品已經非常火爆。更多的用戶意味著黑客會更關注蘋果的代碼,因此也就有更多漏洞被發現。
不過好消息在于,蘋果正在傾聽公眾的意見,而調整即將到來。
消息人士表示,蘋果已意識到這些問題,而該公司正試圖改善與信息安全研究人員的溝通。目前主要的挑戰在于,如何應對快速增長。蘋果會接到大量可能的漏洞報告,而蘋果的信息安全團隊希望優先關注更嚴重的漏洞,并區分真正的漏洞和誤報。
京公網安備 11010502049343號