以下为文章全文:
“苹果电脑更安全,没有漏洞。”这样的观念已不再是事实。
我们已习惯于Windows PC存在的各种漏洞。然而过去几年,Mac电脑、iPad和iPhone也正在暴露越来越多的问题。2015年到目前为止,苹果产品已曝光了5个重大漏洞。
本周有报道称,利用Mac电脑的一个漏洞,黑客可以将病毒植入系统深处,而用户无法发现。一周前,iPhone被曝光存在一个漏洞,只需一条短信就能让iPhone崩溃。这些问题很严重,但到目前为止尚未得到修复。
每个系统、应用和软件中都存在错误的代码,但苹果修复漏洞的策略已经过时。苹果以往曾宣称,该公司的产品比微软的更安全,但目前已并非如此。目前的苹果与10年前的微软非常相像。
问题
计算机工程师、黑客,以及熟悉苹果策略的人士认为,关于信息安全,苹果存在5方面的错误:
1.苹果没有定期进行安全更新,更新频率也不够快
去年,苹果花了100天时间才修复由谷歌工程师发现的一个问题。2012年,针对一个名为“Flashback”的恶意软件,甲骨文迅速发布了Java的一个补丁。然而,苹果花了整整两个月时间才发布补丁。当时业内人士估计,有65万台Mac电脑被这一恶意软件感染。
信息安全研究公司Rapid7研究经理托德·贝尔德斯利(Tod Beardsley)表示:“与微软不同,苹果似乎并没有定期发布补丁的计划。他们也没有像谷歌对Chrome所做的一样,持续发布安全升级。某些时候,补丁发布速度很慢。而在某些情况下,补丁的开发确实比较困难。”
迅速发布补丁有时会起到反效果。从这种意义上来说,苹果对待漏洞就像是对待产品。苹果往往不会率先进入某一行业,而是计划做到最好。不过,长时间等待有可能导致严重的损失,使苹果产品的用户容易受到黑客攻击,进而造成个人信息被盗。
2.保密性
苹果通常不公开讨论安全漏洞。例如,苹果并未承认Mac电脑最新曝光的漏洞。尽管已确认了iPhone的短信漏洞,并提供了如何解决漏洞的建议,但苹果并未公布漏洞的根本原因。
贝尔德斯利表示:“苹果以非常神秘的方式去工作。关于确认存在的安全漏洞,苹果以保密而著称。”
更好的透明度将引起用户警觉,并促使苹果开发者社区去研究如何修复漏洞。从这一角度来看,保密是有害的。
3.只对最新软件进行升级
如果用户仍在使用老版本OS X系统,那么苹果不会为你提供补丁。
例如,苹果今年4月修复了一个严重漏洞,但仅针对最新版本OS X系统“Yosemite”。根据Net Market Share的数据,这意味着,苹果抛弃了47%使用老版本OS X系统的用户。
苹果的立场是什么?用户可以免费升级至最新版系统。情况确实如此,但这样做并不公平。一些较老的笔记本已无法运行最新版OS X系统。
4.不愿付费
对于查找漏洞的信息安全研究人员,苹果是唯一一家不愿支付报酬的主要科技公司。
此前有报道称,一些犯罪分子和间谍愿意以15万美元的高价获得iPhone的漏洞。但苹果在这方面却一毛不拔。
5.不承认错误
苹果不认错的态度令许多信息安全研究人员感到失望。例如,在去年iCloud“照片门”期间,苹果CEO蒂姆·库克(Tim Cook)表示,苹果将加强信息安全举措。不过他认为这是用户的问题,“而不是工程开发的问题”。
实际上,通过一些信息安全技术本可以避免iCloud明星裸照流出事件,例如要求用户启用两步验证机制。这是工程开发的问题。最终,苹果也向iCloud加入了这样的信息安全功能。
与苹果打交道并不容易。信息安全研究员谢诺·科瓦(Xeno Kovah)表示,即使是在最严重的情况下,例如当他向卡耐基梅隆大学计算机紧急响应团队报告一个严重软件漏洞时,苹果也没有像其他公司一样积极响应。
他认为:“苹果在漏洞修复方面存在问题。”
2012年,苹果平台的684名独立开发者发起了一项正式行动,要求苹果改善漏洞报告系统。不过他们表示,随后并没有发生什么改变。
苹果拒绝对这一报道置评。