導(dǎo)語：CNN財(cái)經(jīng)網(wǎng)站本周刊文稱，近期，蘋果產(chǎn)品被曝出了一系列嚴(yán)重的信息安全漏洞。業(yè)內(nèi)人士認(rèn)為，在信息安全方面，當(dāng)前的蘋果就像是10年前的微軟。

以下為文章全文：

“蘋果電腦更安全，沒有漏洞。”這樣的觀念已不再是事實(shí)。

我們已習(xí)慣于Windows PC存在的各種漏洞。然而過去幾年，Mac電腦、iPad和iPhone也正在暴露越來越多的問題。2015年到目前為止，蘋果產(chǎn)品已曝光了5個(gè)重大漏洞。

本周有報(bào)道稱，利用Mac電腦的一個(gè)漏洞，黑客可以將病毒植入系統(tǒng)深處，而用戶無法發(fā)現(xiàn)。一周前，iPhone被曝光存在一個(gè)漏洞，只需一條短信就能讓iPhone崩潰。這些問題很嚴(yán)重，但到目前為止尚未得到修復(fù)。

每個(gè)系統(tǒng)、應(yīng)用和軟件中都存在錯(cuò)誤的代碼，但蘋果修復(fù)漏洞的策略已經(jīng)過時(shí)。蘋果以往曾宣稱，該公司的產(chǎn)品比微軟的更安全，但目前已并非如此。目前的蘋果與10年前的微軟非常相像。

問題

計(jì)算機(jī)工程師、黑客，以及熟悉蘋果策略的人士認(rèn)為，關(guān)于信息安全，蘋果存在5方面的錯(cuò)誤：

1.蘋果沒有定期進(jìn)行安全更新，更新頻率也不夠快

去年，蘋果花了100天時(shí)間才修復(fù)由谷歌工程師發(fā)現(xiàn)的一個(gè)問題。2012年，針對一個(gè)名為“Flashback”的惡意軟件，甲骨文迅速發(fā)布了Java的一個(gè)補(bǔ)丁。然而，蘋果花了整整兩個(gè)月時(shí)間才發(fā)布補(bǔ)丁。當(dāng)時(shí)業(yè)內(nèi)人士估計(jì)，有65萬臺(tái)Mac電腦被這一惡意軟件感染。

信息安全研究公司Rapid7研究經(jīng)理托德·貝爾德斯利(Tod Beardsley)表示：“與微軟不同，蘋果似乎并沒有定期發(fā)布補(bǔ)丁的計(jì)劃。他們也沒有像谷歌對Chrome所做的一樣，持續(xù)發(fā)布安全升級(jí)。某些時(shí)候，補(bǔ)丁發(fā)布速度很慢。而在某些情況下，補(bǔ)丁的開發(fā)確實(shí)比較困難。”

迅速發(fā)布補(bǔ)丁有時(shí)會(huì)起到反效果。從這種意義上來說，蘋果對待漏洞就像是對待產(chǎn)品。蘋果往往不會(huì)率先進(jìn)入某一行業(yè)，而是計(jì)劃做到最好。不過，長時(shí)間等待有可能導(dǎo)致嚴(yán)重的損失，使蘋果產(chǎn)品的用戶容易受到黑客攻擊，進(jìn)而造成個(gè)人信息被盜。

2.保密性

蘋果通常不公開討論安全漏洞。例如，蘋果并未承認(rèn)Mac電腦最新曝光的漏洞。盡管已確認(rèn)了iPhone的短信漏洞，并提供了如何解決漏洞的建議，但蘋果并未公布漏洞的根本原因。

貝爾德斯利表示：“蘋果以非常神秘的方式去工作。關(guān)于確認(rèn)存在的安全漏洞，蘋果以保密而著稱。”

更好的透明度將引起用戶警覺，并促使蘋果開發(fā)者社區(qū)去研究如何修復(fù)漏洞。從這一角度來看，保密是有害的。

3.只對最新軟件進(jìn)行升級(jí)

如果用戶仍在使用老版本OS X系統(tǒng)，那么蘋果不會(huì)為你提供補(bǔ)丁。

例如，蘋果今年4月修復(fù)了一個(gè)嚴(yán)重漏洞，但僅針對最新版本OS X系統(tǒng)“Yosemite”。根據(jù)Net Market Share的數(shù)據(jù)，這意味著，蘋果拋棄了47%使用老版本OS X系統(tǒng)的用戶。

蘋果的立場是什么?用戶可以免費(fèi)升級(jí)至最新版系統(tǒng)。情況確實(shí)如此，但這樣做并不公平。一些較老的筆記本已無法運(yùn)行最新版OS X系統(tǒng)。

4.不愿付費(fèi)

對于查找漏洞的信息安全研究人員，蘋果是唯一一家不愿支付報(bào)酬的主要科技公司。

此前有報(bào)道稱，一些犯罪分子和間諜愿意以15萬美元的高價(jià)獲得iPhone的漏洞。但蘋果在這方面卻一毛不拔。

5.不承認(rèn)錯(cuò)誤

蘋果不認(rèn)錯(cuò)的態(tài)度令許多信息安全研究人員感到失望。例如，在去年iCloud“照片門”期間，蘋果CEO蒂姆·庫克(Tim Cook)表示，蘋果將加強(qiáng)信息安全舉措。不過他認(rèn)為這是用戶的問題，“而不是工程開發(fā)的問題”。

實(shí)際上，通過一些信息安全技術(shù)本可以避免iCloud明星裸照流出事件，例如要求用戶啟用兩步驗(yàn)證機(jī)制。這是工程開發(fā)的問題。最終，蘋果也向iCloud加入了這樣的信息安全功能。

與蘋果打交道并不容易。信息安全研究員謝諾·科瓦(Xeno Kovah)表示，即使是在最嚴(yán)重的情況下，例如當(dāng)他向卡耐基梅隆大學(xué)計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)報(bào)告一個(gè)嚴(yán)重軟件漏洞時(shí)，蘋果也沒有像其他公司一樣積極響應(yīng)。

他認(rèn)為：“蘋果在漏洞修復(fù)方面存在問題。”

2012年，蘋果平臺(tái)的684名獨(dú)立開發(fā)者發(fā)起了一項(xiàng)正式行動(dòng)，要求蘋果改善漏洞報(bào)告系統(tǒng)。不過他們表示，隨后并沒有發(fā)生什么改變。

蘋果拒絕對這一報(bào)道置評。

微軟的做法

許多知名黑客表示，與微軟多年前類似，蘋果的漏洞報(bào)告系統(tǒng)需要大幅調(diào)整。

15年前，Windows已經(jīng)是用戶最多的系統(tǒng)，但也遭到很多人的厭惡。當(dāng)時(shí)的Windows系統(tǒng)漏洞很多。隨后，微軟改變了策略。

2003年，微軟啟動(dòng)了“周二補(bǔ)丁日”計(jì)劃。每個(gè)月，用戶可以收到大量的安全更新。2005年，微軟開始舉辦邀請參加的信息安全大會(huì)Blue Hat，與信息安全研究者進(jìn)行面對面接觸。然而，蘋果并未舉辦過這樣的論壇。

微軟在信息安全方面最成功的一大策略是“漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制”，這一項(xiàng)目從2013年開始。通過此舉，微軟不再對抗黑客軍團(tuán)，而是將他們變成微軟的“保衛(wèi)者”。

微軟前首席信息安全策略師、漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制的執(zhí)行者凱蒂·穆蘇里斯(Katie Moussouris)表示：“在對信息安全策略進(jìn)行有意義的調(diào)整之前，微軟被大量漏洞所困擾。希望蘋果也能快速解決這一問題。”

那么，為何蘋果在突然之間就遭遇了壓力?穆蘇里斯認(rèn)為，蘋果是“自身成功的受害者”。蘋果產(chǎn)品已經(jīng)非?；鸨?。更多的用戶意味著黑客會(huì)更關(guān)注蘋果的代碼，因此也就有更多漏洞被發(fā)現(xiàn)。

不過好消息在于，蘋果正在傾聽公眾的意見，而調(diào)整即將到來。

消息人士表示，蘋果已意識(shí)到這些問題，而該公司正試圖改善與信息安全研究人員的溝通。目前主要的挑戰(zhàn)在于，如何應(yīng)對快速增長。蘋果會(huì)接到大量可能的漏洞報(bào)告，而蘋果的信息安全團(tuán)隊(duì)希望優(yōu)先關(guān)注更嚴(yán)重的漏洞，并區(qū)分真正的漏洞和誤報(bào)。