導(dǎo)語(yǔ)：CNN財(cái)經(jīng)網(wǎng)站本周刊文稱(chēng)，近期，蘋(píng)果產(chǎn)品被曝出了一系列嚴(yán)重的信息安全漏洞。業(yè)內(nèi)人士認(rèn)為，在信息安全方面，當(dāng)前的蘋(píng)果就像是10年前的微軟。

以下為文章全文：

“蘋(píng)果電腦更安全，沒(méi)有漏洞。”這樣的觀念已不再是事實(shí)。

我們已習(xí)慣于Windows PC存在的各種漏洞。然而過(guò)去幾年，Mac電腦、iPad和iPhone也正在暴露越來(lái)越多的問(wèn)題。2015年到目前為止，蘋(píng)果產(chǎn)品已曝光了5個(gè)重大漏洞。

本周有報(bào)道稱(chēng)，利用Mac電腦的一個(gè)漏洞，黑客可以將病毒植入系統(tǒng)深處，而用戶(hù)無(wú)法發(fā)現(xiàn)。一周前，iPhone被曝光存在一個(gè)漏洞，只需一條短信就能讓iPhone崩潰。這些問(wèn)題很?chē)?yán)重，但到目前為止尚未得到修復(fù)。

每個(gè)系統(tǒng)、應(yīng)用和軟件中都存在錯(cuò)誤的代碼，但蘋(píng)果修復(fù)漏洞的策略已經(jīng)過(guò)時(shí)。蘋(píng)果以往曾宣稱(chēng)，該公司的產(chǎn)品比微軟的更安全，但目前已并非如此。目前的蘋(píng)果與10年前的微軟非常相像。

問(wèn)題

計(jì)算機(jī)工程師、黑客，以及熟悉蘋(píng)果策略的人士認(rèn)為，關(guān)于信息安全，蘋(píng)果存在5方面的錯(cuò)誤：

1.蘋(píng)果沒(méi)有定期進(jìn)行安全更新，更新頻率也不夠快

去年，蘋(píng)果花了100天時(shí)間才修復(fù)由谷歌工程師發(fā)現(xiàn)的一個(gè)問(wèn)題。2012年，針對(duì)一個(gè)名為“Flashback”的惡意軟件，甲骨文迅速發(fā)布了Java的一個(gè)補(bǔ)丁。然而，蘋(píng)果花了整整兩個(gè)月時(shí)間才發(fā)布補(bǔ)丁。當(dāng)時(shí)業(yè)內(nèi)人士估計(jì)，有65萬(wàn)臺(tái)Mac電腦被這一惡意軟件感染。

信息安全研究公司Rapid7研究經(jīng)理托德·貝爾德斯利(Tod Beardsley)表示：“與微軟不同，蘋(píng)果似乎并沒(méi)有定期發(fā)布補(bǔ)丁的計(jì)劃。他們也沒(méi)有像谷歌對(duì)Chrome所做的一樣，持續(xù)發(fā)布安全升級(jí)。某些時(shí)候，補(bǔ)丁發(fā)布速度很慢。而在某些情況下，補(bǔ)丁的開(kāi)發(fā)確實(shí)比較困難。”

迅速發(fā)布補(bǔ)丁有時(shí)會(huì)起到反效果。從這種意義上來(lái)說(shuō)，蘋(píng)果對(duì)待漏洞就像是對(duì)待產(chǎn)品。蘋(píng)果往往不會(huì)率先進(jìn)入某一行業(yè)，而是計(jì)劃做到最好。不過(guò)，長(zhǎng)時(shí)間等待有可能導(dǎo)致嚴(yán)重的損失，使蘋(píng)果產(chǎn)品的用戶(hù)容易受到黑客攻擊，進(jìn)而造成個(gè)人信息被盜。

2.保密性

蘋(píng)果通常不公開(kāi)討論安全漏洞。例如，蘋(píng)果并未承認(rèn)Mac電腦最新曝光的漏洞。盡管已確認(rèn)了iPhone的短信漏洞，并提供了如何解決漏洞的建議，但蘋(píng)果并未公布漏洞的根本原因。

貝爾德斯利表示：“蘋(píng)果以非常神秘的方式去工作。關(guān)于確認(rèn)存在的安全漏洞，蘋(píng)果以保密而著稱(chēng)。”

更好的透明度將引起用戶(hù)警覺(jué)，并促使蘋(píng)果開(kāi)發(fā)者社區(qū)去研究如何修復(fù)漏洞。從這一角度來(lái)看，保密是有害的。

3.只對(duì)最新軟件進(jìn)行升級(jí)

如果用戶(hù)仍在使用老版本OS X系統(tǒng)，那么蘋(píng)果不會(huì)為你提供補(bǔ)丁。

例如，蘋(píng)果今年4月修復(fù)了一個(gè)嚴(yán)重漏洞，但僅針對(duì)最新版本OS X系統(tǒng)“Yosemite”。根據(jù)Net Market Share的數(shù)據(jù)，這意味著，蘋(píng)果拋棄了47%使用老版本OS X系統(tǒng)的用戶(hù)。

蘋(píng)果的立場(chǎng)是什么?用戶(hù)可以免費(fèi)升級(jí)至最新版系統(tǒng)。情況確實(shí)如此，但這樣做并不公平。一些較老的筆記本已無(wú)法運(yùn)行最新版OS X系統(tǒng)。

4.不愿付費(fèi)

對(duì)于查找漏洞的信息安全研究人員，蘋(píng)果是唯一一家不愿支付報(bào)酬的主要科技公司。

此前有報(bào)道稱(chēng)，一些犯罪分子和間諜愿意以15萬(wàn)美元的高價(jià)獲得iPhone的漏洞。但蘋(píng)果在這方面卻一毛不拔。

5.不承認(rèn)錯(cuò)誤

蘋(píng)果不認(rèn)錯(cuò)的態(tài)度令許多信息安全研究人員感到失望。例如，在去年iCloud“照片門(mén)”期間，蘋(píng)果CEO蒂姆·庫(kù)克(Tim Cook)表示，蘋(píng)果將加強(qiáng)信息安全舉措。不過(guò)他認(rèn)為這是用戶(hù)的問(wèn)題，“而不是工程開(kāi)發(fā)的問(wèn)題”。

實(shí)際上，通過(guò)一些信息安全技術(shù)本可以避免iCloud明星裸照流出事件，例如要求用戶(hù)啟用兩步驗(yàn)證機(jī)制。這是工程開(kāi)發(fā)的問(wèn)題。最終，蘋(píng)果也向iCloud加入了這樣的信息安全功能。

與蘋(píng)果打交道并不容易。信息安全研究員謝諾·科瓦(Xeno Kovah)表示，即使是在最嚴(yán)重的情況下，例如當(dāng)他向卡耐基梅隆大學(xué)計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)報(bào)告一個(gè)嚴(yán)重軟件漏洞時(shí)，蘋(píng)果也沒(méi)有像其他公司一樣積極響應(yīng)。

他認(rèn)為：“蘋(píng)果在漏洞修復(fù)方面存在問(wèn)題。”

2012年，蘋(píng)果平臺(tái)的684名獨(dú)立開(kāi)發(fā)者發(fā)起了一項(xiàng)正式行動(dòng)，要求蘋(píng)果改善漏洞報(bào)告系統(tǒng)。不過(guò)他們表示，隨后并沒(méi)有發(fā)生什么改變。

蘋(píng)果拒絕對(duì)這一報(bào)道置評(píng)。

微軟的做法

許多知名黑客表示，與微軟多年前類(lèi)似，蘋(píng)果的漏洞報(bào)告系統(tǒng)需要大幅調(diào)整。

15年前，Windows已經(jīng)是用戶(hù)最多的系統(tǒng)，但也遭到很多人的厭惡。當(dāng)時(shí)的Windows系統(tǒng)漏洞很多。隨后，微軟改變了策略。

2003年，微軟啟動(dòng)了“周二補(bǔ)丁日”計(jì)劃。每個(gè)月，用戶(hù)可以收到大量的安全更新。2005年，微軟開(kāi)始舉辦邀請(qǐng)參加的信息安全大會(huì)Blue Hat，與信息安全研究者進(jìn)行面對(duì)面接觸。然而，蘋(píng)果并未舉辦過(guò)這樣的論壇。

微軟在信息安全方面最成功的一大策略是“漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制”，這一項(xiàng)目從2013年開(kāi)始。通過(guò)此舉，微軟不再對(duì)抗黑客軍團(tuán)，而是將他們變成微軟的“保衛(wèi)者”。

微軟前首席信息安全策略師、漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制的執(zhí)行者凱蒂·穆蘇里斯(Katie Moussouris)表示：“在對(duì)信息安全策略進(jìn)行有意義的調(diào)整之前，微軟被大量漏洞所困擾。希望蘋(píng)果也能快速解決這一問(wèn)題。”

那么，為何蘋(píng)果在突然之間就遭遇了壓力?穆蘇里斯認(rèn)為，蘋(píng)果是“自身成功的受害者”。蘋(píng)果產(chǎn)品已經(jīng)非?；鸨８嗟挠脩?hù)意味著黑客會(huì)更關(guān)注蘋(píng)果的代碼，因此也就有更多漏洞被發(fā)現(xiàn)。

不過(guò)好消息在于，蘋(píng)果正在傾聽(tīng)公眾的意見(jiàn)，而調(diào)整即將到來(lái)。

消息人士表示，蘋(píng)果已意識(shí)到這些問(wèn)題，而該公司正試圖改善與信息安全研究人員的溝通。目前主要的挑戰(zhàn)在于，如何應(yīng)對(duì)快速增長(zhǎng)。蘋(píng)果會(huì)接到大量可能的漏洞報(bào)告，而蘋(píng)果的信息安全團(tuán)隊(duì)希望優(yōu)先關(guān)注更嚴(yán)重的漏洞，并區(qū)分真正的漏洞和誤報(bào)。