信息安全帶來(lái)麻煩:蘋(píng)果遭遇“微軟時(shí)刻”
導(dǎo)語(yǔ):CNN財(cái)經(jīng)網(wǎng)站本周刊文稱(chēng),近期,蘋(píng)果產(chǎn)品被曝出了一系列嚴(yán)重的信息安全漏洞。業(yè)內(nèi)人士認(rèn)為,在信息安全方面,當(dāng)前的蘋(píng)果就像是10年前的微軟。
以下為文章全文:
“蘋(píng)果電腦更安全,沒(méi)有漏洞。”這樣的觀念已不再是事實(shí)。
我們已習(xí)慣于Windows PC存在的各種漏洞。然而過(guò)去幾年,Mac電腦、iPad和iPhone也正在暴露越來(lái)越多的問(wèn)題。2015年到目前為止,蘋(píng)果產(chǎn)品已曝光了5個(gè)重大漏洞。
本周有報(bào)道稱(chēng),利用Mac電腦的一個(gè)漏洞,黑客可以將病毒植入系統(tǒng)深處,而用戶(hù)無(wú)法發(fā)現(xiàn)。一周前,iPhone被曝光存在一個(gè)漏洞,只需一條短信就能讓iPhone崩潰。這些問(wèn)題很?chē)?yán)重,但到目前為止尚未得到修復(fù)。
每個(gè)系統(tǒng)、應(yīng)用和軟件中都存在錯(cuò)誤的代碼,但蘋(píng)果修復(fù)漏洞的策略已經(jīng)過(guò)時(shí)。蘋(píng)果以往曾宣稱(chēng),該公司的產(chǎn)品比微軟的更安全,但目前已并非如此。目前的蘋(píng)果與10年前的微軟非常相像。
問(wèn)題
計(jì)算機(jī)工程師、黑客,以及熟悉蘋(píng)果策略的人士認(rèn)為,關(guān)于信息安全,蘋(píng)果存在5方面的錯(cuò)誤:
1.蘋(píng)果沒(méi)有定期進(jìn)行安全更新,更新頻率也不夠快
去年,蘋(píng)果花了100天時(shí)間才修復(fù)由谷歌工程師發(fā)現(xiàn)的一個(gè)問(wèn)題。2012年,針對(duì)一個(gè)名為“Flashback”的惡意軟件,甲骨文迅速發(fā)布了Java的一個(gè)補(bǔ)丁。然而,蘋(píng)果花了整整兩個(gè)月時(shí)間才發(fā)布補(bǔ)丁。當(dāng)時(shí)業(yè)內(nèi)人士估計(jì),有65萬(wàn)臺(tái)Mac電腦被這一惡意軟件感染。
信息安全研究公司Rapid7研究經(jīng)理托德·貝爾德斯利(Tod Beardsley)表示:“與微軟不同,蘋(píng)果似乎并沒(méi)有定期發(fā)布補(bǔ)丁的計(jì)劃。他們也沒(méi)有像谷歌對(duì)Chrome所做的一樣,持續(xù)發(fā)布安全升級(jí)。某些時(shí)候,補(bǔ)丁發(fā)布速度很慢。而在某些情況下,補(bǔ)丁的開(kāi)發(fā)確實(shí)比較困難。”
迅速發(fā)布補(bǔ)丁有時(shí)會(huì)起到反效果。從這種意義上來(lái)說(shuō),蘋(píng)果對(duì)待漏洞就像是對(duì)待產(chǎn)品。蘋(píng)果往往不會(huì)率先進(jìn)入某一行業(yè),而是計(jì)劃做到最好。不過(guò),長(zhǎng)時(shí)間等待有可能導(dǎo)致嚴(yán)重的損失,使蘋(píng)果產(chǎn)品的用戶(hù)容易受到黑客攻擊,進(jìn)而造成個(gè)人信息被盜。
2.保密性
蘋(píng)果通常不公開(kāi)討論安全漏洞。例如,蘋(píng)果并未承認(rèn)Mac電腦最新曝光的漏洞。盡管已確認(rèn)了iPhone的短信漏洞,并提供了如何解決漏洞的建議,但蘋(píng)果并未公布漏洞的根本原因。
貝爾德斯利表示:“蘋(píng)果以非常神秘的方式去工作。關(guān)于確認(rèn)存在的安全漏洞,蘋(píng)果以保密而著稱(chēng)。”
更好的透明度將引起用戶(hù)警覺(jué),并促使蘋(píng)果開(kāi)發(fā)者社區(qū)去研究如何修復(fù)漏洞。從這一角度來(lái)看,保密是有害的。
3.只對(duì)最新軟件進(jìn)行升級(jí)
如果用戶(hù)仍在使用老版本OS X系統(tǒng),那么蘋(píng)果不會(huì)為你提供補(bǔ)丁。
例如,蘋(píng)果今年4月修復(fù)了一個(gè)嚴(yán)重漏洞,但僅針對(duì)最新版本OS X系統(tǒng)“Yosemite”。根據(jù)Net Market Share的數(shù)據(jù),這意味著,蘋(píng)果拋棄了47%使用老版本OS X系統(tǒng)的用戶(hù)。
蘋(píng)果的立場(chǎng)是什么?用戶(hù)可以免費(fèi)升級(jí)至最新版系統(tǒng)。情況確實(shí)如此,但這樣做并不公平。一些較老的筆記本已無(wú)法運(yùn)行最新版OS X系統(tǒng)。
4.不愿付費(fèi)
對(duì)于查找漏洞的信息安全研究人員,蘋(píng)果是唯一一家不愿支付報(bào)酬的主要科技公司。
此前有報(bào)道稱(chēng),一些犯罪分子和間諜愿意以15萬(wàn)美元的高價(jià)獲得iPhone的漏洞。但蘋(píng)果在這方面卻一毛不拔。
5.不承認(rèn)錯(cuò)誤
蘋(píng)果不認(rèn)錯(cuò)的態(tài)度令許多信息安全研究人員感到失望。例如,在去年iCloud“照片門(mén)”期間,蘋(píng)果CEO蒂姆·庫(kù)克(Tim Cook)表示,蘋(píng)果將加強(qiáng)信息安全舉措。不過(guò)他認(rèn)為這是用戶(hù)的問(wèn)題,“而不是工程開(kāi)發(fā)的問(wèn)題”。
實(shí)際上,通過(guò)一些信息安全技術(shù)本可以避免iCloud明星裸照流出事件,例如要求用戶(hù)啟用兩步驗(yàn)證機(jī)制。這是工程開(kāi)發(fā)的問(wèn)題。最終,蘋(píng)果也向iCloud加入了這樣的信息安全功能。
與蘋(píng)果打交道并不容易。信息安全研究員謝諾·科瓦(Xeno Kovah)表示,即使是在最嚴(yán)重的情況下,例如當(dāng)他向卡耐基梅隆大學(xué)計(jì)算機(jī)緊急響應(yīng)團(tuán)隊(duì)報(bào)告一個(gè)嚴(yán)重軟件漏洞時(shí),蘋(píng)果也沒(méi)有像其他公司一樣積極響應(yīng)。
他認(rèn)為:“蘋(píng)果在漏洞修復(fù)方面存在問(wèn)題。”
2012年,蘋(píng)果平臺(tái)的684名獨(dú)立開(kāi)發(fā)者發(fā)起了一項(xiàng)正式行動(dòng),要求蘋(píng)果改善漏洞報(bào)告系統(tǒng)。不過(guò)他們表示,隨后并沒(méi)有發(fā)生什么改變。
蘋(píng)果拒絕對(duì)這一報(bào)道置評(píng)。
微軟的做法
許多知名黑客表示,與微軟多年前類(lèi)似,蘋(píng)果的漏洞報(bào)告系統(tǒng)需要大幅調(diào)整。
15年前,Windows已經(jīng)是用戶(hù)最多的系統(tǒng),但也遭到很多人的厭惡。當(dāng)時(shí)的Windows系統(tǒng)漏洞很多。隨后,微軟改變了策略。
2003年,微軟啟動(dòng)了“周二補(bǔ)丁日”計(jì)劃。每個(gè)月,用戶(hù)可以收到大量的安全更新。2005年,微軟開(kāi)始舉辦邀請(qǐng)參加的信息安全大會(huì)Blue Hat,與信息安全研究者進(jìn)行面對(duì)面接觸。然而,蘋(píng)果并未舉辦過(guò)這樣的論壇。
微軟在信息安全方面最成功的一大策略是“漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制”,這一項(xiàng)目從2013年開(kāi)始。通過(guò)此舉,微軟不再對(duì)抗黑客軍團(tuán),而是將他們變成微軟的“保衛(wèi)者”。
微軟前首席信息安全策略師、漏洞報(bào)告獎(jiǎng)勵(lì)機(jī)制的執(zhí)行者凱蒂·穆蘇里斯(Katie Moussouris)表示:“在對(duì)信息安全策略進(jìn)行有意義的調(diào)整之前,微軟被大量漏洞所困擾。希望蘋(píng)果也能快速解決這一問(wèn)題。”
那么,為何蘋(píng)果在突然之間就遭遇了壓力?穆蘇里斯認(rèn)為,蘋(píng)果是“自身成功的受害者”。蘋(píng)果產(chǎn)品已經(jīng)非?;鸨8嗟挠脩?hù)意味著黑客會(huì)更關(guān)注蘋(píng)果的代碼,因此也就有更多漏洞被發(fā)現(xiàn)。
不過(guò)好消息在于,蘋(píng)果正在傾聽(tīng)公眾的意見(jiàn),而調(diào)整即將到來(lái)。
消息人士表示,蘋(píng)果已意識(shí)到這些問(wèn)題,而該公司正試圖改善與信息安全研究人員的溝通。目前主要的挑戰(zhàn)在于,如何應(yīng)對(duì)快速增長(zhǎng)。蘋(píng)果會(huì)接到大量可能的漏洞報(bào)告,而蘋(píng)果的信息安全團(tuán)隊(duì)希望優(yōu)先關(guān)注更嚴(yán)重的漏洞,并區(qū)分真正的漏洞和誤報(bào)。





