蘋(píng)果的安全到底怎么了?
無(wú)論你怎么仔細(xì)審查,軟件都避免不了漏洞的存在。于是,問(wèn)題不在于如何寫(xiě)出完美代碼,而是在發(fā)現(xiàn)錯(cuò)誤時(shí)如何響應(yīng)。蘋(píng)果一貫以安全健壯聞名,但macOS和iOS的一系列重大漏洞,扯破了蘋(píng)果的安全網(wǎng),令安全研究員和開(kāi)發(fā)者紛紛質(zhì)疑這些問(wèn)題是否系統(tǒng)性的。
就拿9月底發(fā)布的蘋(píng)果macOS High Sierra操作系統(tǒng)來(lái)說(shuō)。僅僅10天,蘋(píng)果公司就不得不修復(fù)2個(gè)關(guān)鍵漏洞:某第三方App可被用于從密鑰鏈中盜取憑證;加密蘋(píng)果文件系統(tǒng)卷的口令提示,會(huì)以明文形式暴露口令。接著,11月底,安全研究人員公開(kāi)宣稱(chēng),只需輸入“root”,任何人都可獲得 High Sierra 的root權(quán)限。
該漏洞實(shí)在太辣眼睛,蘋(píng)果在1天之內(nèi)就推出了補(bǔ)丁,對(duì)如此龐大的公司而言,這速度堪稱(chēng)驚人。
“root”漏洞事件曝光之后,蘋(píng)果十分罕見(jiàn)地給科技媒體《連線(xiàn)》發(fā)出了一份聲明,稱(chēng):
| 安全,一直是每款蘋(píng)果產(chǎn)品的第一要?jiǎng)?wù),很遺憾我們?cè)谶@次macOS發(fā)布中失誤了。我們對(duì)此失誤深表遺憾,并為該帶漏洞的發(fā)布和所引發(fā)的擔(dān)憂(yōu),向所有Mac用戶(hù)致歉。我們的客戶(hù)值得擁有更好的產(chǎn)品。我們正在審計(jì)開(kāi)發(fā)過(guò)程,以防止此類(lèi)事件再次發(fā)生。 |
然而,該修復(fù)補(bǔ)丁自身也含有嚴(yán)重漏洞——鑒于該公司測(cè)試補(bǔ)丁的時(shí)間如此之短,有漏洞毫不意外。且該疏漏不是個(gè)案,而是類(lèi)似的一系列軟件缺陷之一,不僅macOS,蘋(píng)果所有平臺(tái)都陸續(xù)曝出缺陷。
基本上,整個(gè)2017年,蘋(píng)果公司都忙于修復(fù)各種問(wèn)題,包括 iOS 10 的數(shù)十個(gè)漏洞,還有5月份影響到該公司所有操作系統(tǒng)和服務(wù)的一次震蕩性更新——一口氣修復(fù)了66個(gè)不同漏洞。其中幾個(gè)漏洞可致遠(yuǎn)程代碼執(zhí)行;黑客無(wú)需物理接觸到設(shè)備就可入侵。
9月份 iOS 11 推出不久,iPhone就開(kāi)始將字母“i”自動(dòng)更正為“A”。雖然不是安全問(wèn)題,但該問(wèn)題是如此明顯,讓蘋(píng)果的廣大用戶(hù)非常生氣。就在上周,蘋(píng)果發(fā)布了用于修復(fù)遠(yuǎn)程HomeKit漏洞的 iOS 11 補(bǔ)丁。該漏洞并不容易利用,但可致重要智能家居設(shè)備被入侵,比如門(mén)鎖。
從各方面看,蘋(píng)果產(chǎn)品依然比其競(jìng)爭(zhēng)對(duì)手更安全。但安全研究人員認(rèn)為,漏洞的增多可能預(yù)示著更深刻的問(wèn)題。
專(zhuān)注蘋(píng)果產(chǎn)品的 Duo Security 公司研發(fā)工程師佩平·布倫內(nèi)認(rèn)為,蘋(píng)果想讓其所有平臺(tái)——iOS、macOS、watchOS和tvOS,都進(jìn)入同樣的公關(guān)、產(chǎn)品管理和營(yíng)銷(xiāo)友好的年度發(fā)布周期,是得不償失的做法。雖然蘋(píng)果所有產(chǎn)品的整體平臺(tái)安全前景是業(yè)內(nèi)最佳,但那速度,卻是以軟件開(kāi)發(fā)過(guò)程中的質(zhì)量保障為代價(jià)的。
數(shù)名研究人員直指該質(zhì)量保障測(cè)試過(guò)程,推斷其要么缺乏足夠的人力,要么缺乏清晰的指令來(lái)保障徹底深入的評(píng)估。蘋(píng)果自己說(shuō)“正在審計(jì)開(kāi)發(fā)過(guò)程”,暗指這是個(gè)審查和測(cè)試的問(wèn)題,但這同樣的話(huà),也可以用來(lái)搪塞研究人員稍后提出的另一個(gè)擔(dān)憂(yōu)之處:蘋(píng)果每12個(gè)月就要發(fā)布徹底翻修軟件的巨大壓力。
蘋(píng)果之前就出現(xiàn)過(guò)安全問(wèn)題,但也無(wú)可厚非,因?yàn)椴还苁侨魏蜗到y(tǒng)或軟件或遲或早都會(huì)出現(xiàn)問(wèn)題。真正不尋常的,是過(guò)去一個(gè)多月時(shí)間里出現(xiàn)的漏洞數(shù)量。這很明顯不能以巧合解釋之。這么多漏洞都出現(xiàn)在 High Sierra 和 iOS 11 中,令人不由得懷疑,是不是有什么原因讓他們急于發(fā)布,即便沒(méi)有真正準(zhǔn)備好供大眾消費(fèi)也要盡快推出。
一些長(zhǎng)期果粉很是懷念2009年的蘋(píng)果 OS X 10.6 雪豹操作系統(tǒng),那是在上一年華麗而功能豐富的獵豹版基礎(chǔ)上,進(jìn)行的審慎迭代。雪豹是如此優(yōu)秀而穩(wěn)定的一個(gè)版本,因?yàn)樘O(píng)果真的花費(fèi)了大量時(shí)間修復(fù)漏洞。現(xiàn)在這種時(shí)候,他們真的應(yīng)該重回之前的做法,因?yàn)樽罱拿看伟l(fā)布都太偏重新功能了。也許蘋(píng)果需要放緩新功能開(kāi)發(fā)的腳步,下一次發(fā)布將精力集中在解決問(wèn)題上。
這些明顯的漏洞,可能會(huì)為蘋(píng)果的整體安全帶來(lái)級(jí)聯(lián)效應(yīng)。蘋(píng)果設(shè)備保持相對(duì)安全的一個(gè)原因,是iPhone和Mac用戶(hù)通常及時(shí)安裝更新,而安卓設(shè)備則往往有延遲。但錯(cuò)誤太多太頻繁,會(huì)讓人們害怕馬上采用更新,更傾向于等待市場(chǎng)上出現(xiàn)已去除了問(wèn)題的新軟件。
| 我早就沒(méi)在用蘋(píng)果的最新軟件了。我總是落后幾個(gè)版本,這么做沒(méi)問(wèn)題。我希望蘋(píng)果總部能感受到這種警示,因?yàn)樗麄兯坪踉谟脩?hù)體驗(yàn)和軟件品質(zhì)上出現(xiàn)問(wèn)題了。 |
盡管當(dāng)前形勢(shì)讓專(zhuān)注蘋(píng)果的研究人員和管理員比較棘手,但該公司的安全態(tài)勢(shì)和生產(chǎn)線(xiàn),倒還是比其他大多數(shù)科技公司要健壯一些。蘋(píng)果最近的問(wèn)題也引起了更多的關(guān)注,部分原因在于研究人員是公開(kāi)揭露漏洞,而不是私密報(bào)告給蘋(píng)果等等修復(fù)。土耳其軟件開(kāi)發(fā)人員樂(lè)米·敖漢·阿勒錦,“root”漏洞發(fā)現(xiàn)者之一,是在推特上通知的蘋(píng)果公司。
通常,大多數(shù)安全更新會(huì)解決一些令人擔(dān)憂(yōu)的問(wèn)題,但如今,人們?cè)谛迯?fù)出來(lái)之前就公開(kāi)漏洞,引發(fā)了更多的恐慌。并不是漏洞更多了,只是人們從不關(guān)注已解決的問(wèn)題,只著眼當(dāng)前問(wèn)題而已。可以說(shuō),這里面還有點(diǎn)堆積效應(yīng),因?yàn)槿藗儠?huì)記住root漏洞,然后將之與新漏洞聯(lián)系起來(lái)。
即便原因更多在于漏洞引起了主流關(guān)注,但結(jié)果依然是對(duì)更新的躊躇不決,而這有可能傷及蘋(píng)果的整體安全。Mac管理員大多在采納更新上有點(diǎn)遲緩,或許能算一種幸運(yùn)吧。但這發(fā)出的其實(shí)是錯(cuò)誤的信號(hào),因?yàn)楦聦?duì)于安全極其重要。蘋(píng)果響應(yīng)這些事件很快,這值得贊賞,但更大的關(guān)注點(diǎn)應(yīng)放在系統(tǒng)本身的整體穩(wěn)定性上,而不是不得不響應(yīng)這些漏洞。
如果下一個(gè)蘋(píng)果發(fā)布周期不含有那么多基礎(chǔ)性錯(cuò)誤,High Sierra 和 iOS 11 的問(wèn)題,就會(huì)作為可以理解的暫時(shí)性問(wèn)題漸漸消退。但目前,它們更像是一種模式,源源不斷。
【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
