近日,關于iOS、安卓、WP三者誰是最安全的系統這個問題,業界又開始討論起來。
據媒體報道,當有人讓擁有15年經驗的黑客兼安全專家Steve Lord從iOS、安卓、WP中選出最安全的系統時,他認為WP是其中“最難啃的骨頭”。他說,“三者都有優點和缺點。目前來說WP應該是‘最難啃的骨頭’。黑莓很長時間以來一直非常注重安全方面,如果讓我選擇用物理方式攻破一臺設備的話,安卓肯定是最容易的,然后是iPhone和老版本的黑莓系統。如果通過網絡方式或通過電子郵件、短信的話,安卓也是最容易受攻擊的目標。”
Windows最安全這個觀點,其實并不新鮮。早在今年6月份,反病毒軟件卡巴斯基的創始人兼CEO尤金·卡巴斯基(Eugene Kaspersky)就曾經發表過類似的意見,當時他認為:“Windows操作系統的安全性遠遠優于其他,無論是相較于手機端的iOS、Android,還是電腦端的OS X。”
而Steve Lord,只不過把尤金·卡巴斯基的觀點更加細化、精準化了。尤金·卡巴斯基說的是Windows操作系統,Steve Lord更側重于移動系統。Steve Lord對老版的WP系統安全性贊賞有佳,他表示:“老舊的智能手機一般來說安全性不高,因為它們非常容易受已知的漏洞影響。如果你在使用一部過時的手機的話,那么最好是一款非智能機。如果你必須使用一部過時的智能機的話,那么最好是老款的黑莓或者是運行WP8或更新系統的WP手機。”
不過,卡巴斯基闡述Windows操作系統的安全時,是有一些理由的。卡巴斯基認為,“iOS,它的致命弱點恰恰是因為極度封閉;開源也未必是件好事,Android的混亂和無序大家也都有目共睹。”可是,Steve Lord似乎沒有提出太多的論據。
以前卡巴斯基提出Windows操作系統最安全的觀點時,我曾經對此采訪過一些業內人士。現在,Steve Lord提出Windows Phone是最安全的移動系統,我發現我以前的采訪內容依然適用于這個話題。
下面,是我在2015年6月的部分采訪記錄。
當初卡巴斯基的說法,曾經讓我有些困惑。想必,很多人在PC時代都經歷過Windows系統病毒、木馬肆虐的時光。雖然現在到了移動互聯網時代,至少我依然對那時的互聯安全心有余悸。記得多年前,很多人呼吁微軟開源、免費。從那個年代至今,我始終有一種潛在的觀點,那就是開源的系統在安全性上要優于閉源的系統,盡管我知道這種看法可能有失偏頗。
因為我之前認為開源系統的安全性要優于閉源系統,所以我想從開源的角度看一下這個問題。筆者首先請教了國內WeX5開源生態圈運營總監李本靖,希望他能從開源的角度解答一下我的困惑。我把我的觀點告訴了他,我認為,“其實從開源的角度看,我感覺開源更有利于系統的安全,大家可以及時發現漏洞風險,然后及時補救,眾人拾柴火焰高嘛!”但李本靖的回答近似于否定或者說是糾正了我的看法,他說:“卡巴斯基不但認為windows比開源安全,同時還認為windows比iOS也安全。所以這個事情的本質是windows VS其他廠商,而不是 閉源 VS開源。”他的回答雖然簡短,但我明白了一個道理,在卡巴斯基語境里,這種安全的比較只是不同廠商不同產品之間的安全程度比較,而不是不同流派(指開源和閉源)之間的比較。微軟的系統是閉源的系統,而蘋果的系統也是閉源的系統。看來,至少在這個問題上,我混淆了概念。估計,很多人會犯同樣的錯誤。
既然開源軟件行業從業者這樣看待這個問題,那么安全軟件行業從業者怎么看待這個問題呢?
我請教了國內某安全軟件廠商的某位安全專家,他告訴我:“這個問題實際上是封閉系統、開放系統和開源系統到底誰安全的問題,是個長期爭論的話題。不論是蘋果還是微軟都在安全方面做了許多工作,不能直接就說哪個安全或者哪個不安全。卡巴斯基的意思是說由于蘋果的封閉,留給安全廠商的權限太少,以致出現安全問題時只能由蘋果自己處理。但也正因為蘋果的封閉性,使得蘋果系統惡意軟件可以獲取的權限也有限。所以需要處理的安全問題看上去并沒有在windows上那么多。”
這位專家的話給了我很大的啟示,所謂的安全與不安全,其實是相對的。沒有誰會刻意的使自己的系統隱患叢生,很多時候,是因為客觀因素。
以上是2015年6月的采訪記錄。仔細看看,那時的采訪記錄依然適用于今天這個話題。
我想,不管是哪種系統,如果它使用的范圍足夠廣,使用的人群足夠多,其生態鏈中應用的軟件及開發者足夠多,那么它吸引黑客的可能性越大,它受到攻擊的可能性越大。反之,如果某款操作系統使用的人群過少,開發者和依托在上面的軟件過少,那吸引別有用心者眼光的可能性就不大。因為二者背后的經濟利益多寡懸殊,誰會做“事倍功半”的傻事呢?所以,系統的安全,有開源還是閉源、開放還是封閉的先天因素,亦有使用人群多少的后天因素。關鍵,看你這個雞蛋能吸引多少蒼蠅,看有多少蒼蠅想盯這個雞蛋,如果你沒有“縫”兒,蒼蠅多了也會給你砸出條“縫”兒。
因為目前的主流發展趨勢是移動互聯網,所以我們從移動互聯網的角度看一下卡巴斯基先生和Steve Lord先生評價的三款系統。根據市場調研公司IDC的分析報告稱,到本年即2015年底,Android系統將會獲得全球智能機份額的79.4%,蘋果iOS市場占有率將達16.4%,Windows Phone全球市場份額為3.2%。IDC還預測,2019年Window Phone的市場占有率將會上升到5.4%。我們看這個數據比例,基本維持在個位數并且很難超過5%的Windows Phone,想不保持極高的安全性能都很困難。因為使用的人太少,無利可圖,很難激起黑客的興趣。假設Windows Phone的市場占有率超過30%的話,還會是現在的形勢嗎?而安卓系統之所以安全問題頻發,與其龐大的市場占有率不無關系;蘋果系統的安全問題有增長趨勢,與蘋果硬件的影響日益加大亦有因果關系。
最近一段時間,蘋果安全問題頻出,比如植入病毒事件。而根據Bit9 + Carbon Black Threat Research團隊的調查報告顯示,“2015年成為Mac有史以來受到惡意攻擊最多的一年,這一年的Mac被攻擊次數幾乎相當于過去5年時間被攻擊次數的總和。”這足以說明,蘋果手機的熱銷,讓蘋果的 iOS系統不再“安全”。
我這樣說,并不是想徹底否定卡巴斯基先生和Steve Lord先生的觀點,畢竟從各款操作系統的漏洞數量上看,目前的Windows 的確已經不是“大戶”。甚至有一種趨勢,蘋果倒慢慢的不安全了。但是,我同時又有這樣的想法:漏洞的數量能代表安全程度的高低,但漏洞的利用率呢?看是否安全,黑客對漏洞的利用率也是一個考核標準吧?
很多時候,安全與否還得取決于人的因素,看自己的安全態度,也看攻擊者是不是存心要攻破你的安全防線。對于我們普通人來說,安全的意識最為重要。至于卡巴斯基和Steve Lord所說的iOS、Android、Windows中Windows最安全,你信嗎?我是持懷疑態度。像Steve Lord說的這句話:“老款的黑莓或者是運行WP8或更新系統的WP手機”最安全。可這些老古董連支付寶可能都不支持,難怪它會安全!
對了,最新數據顯示,美國第三季度智能手機市場份額中,微軟Windows Phone的份額僅為2.9%。它安全不安全,意義已經不大了。所以,“iOS、安卓、WP中Windows Phone是最安全的移動系統”實際上是個偽命題。
京公網安備 11010502049343號