@ 2017.12.21 , 11:00

苹果在安全性上到底出了什么问题?

不管你检查的多仔细,只要是软件就还是会有漏洞。所以问题不在于怎么才能写出完美的代码,而在于当那些错误真的爆出来之后,到底该如何应对。尽管苹果向来在安全性方面口碑颇佳,但是最近还是有一连串macOS和iOS的漏洞穿过了这家公司的安全网。这不禁让研究人员和开发者疑惑是不是苹果的机制出现了什么问题。

以在9月底发布的macOS High Sierra版本为例,十天之内,苹果就不得不修复了两个致命的漏洞。这两个漏洞可以让第三方应用从钥匙串(Keychain)中窃取证书,还有就是使用APFS文件系统加密的磁盘,密码提示会明文显示密码。随后,安全研究人员在11月底公开了一个新漏洞:这一次,任何人都可以简简单单地使用“root”作为用户名随意访问每一台安装了High Sierra系统的Mac电脑。

苹果在安全性上到底出了什么问题?
credit:锐景创意

这个漏洞实在是太显眼了,以至于苹果在当天就拿出了修复补丁,对于一家大公司来说,这个速度实在令人印象深刻。

“苹果产品始终把安全性放在首位,我们对于把这个版本的macOS搞砸了深表歉意。”“root”事件之后,苹果在给WIRED的一份声明中说。对于这家公司来说,这种态度可真不多见。“对于这个错误我们后悔不及,并因这个漏洞和由其引起的担忧向所有的Mac用户致歉。我们的用户应该获得更好地产品,我们已经在重新审视自身的开发流程,以防止类似的事情再次发生。”

但是,用来修复这个漏洞的补丁随后被发现自身也存在漏洞。当然,因为苹果实在是没什么时间来测试它,所以这也不令人意外。这个漏洞只是最近苹果的一系列软件问题中的一小部分,而且这些问题不仅限于macOS,苹果旗下的所有软件平台都不能幸免。整个2017年,苹果公司修复了数不清的软件漏洞,iOS10系统中包含了其中几十个。在五月份,苹果放出了一个特别的大补丁,涉及旗下所有的服务和操作系统,一口气修复了66个漏洞。这其中有些漏洞允许远程执行代码,意味着黑客可以不经过物理接触就黑掉一台苹果设备。

iOS 11系统在9月份发布不久,人们就发现手上的iPhone会把字母“i”自动更正成“A”。尽管不算什么安全问题,但是这个错误实在是太显眼了——而且也很气人,如果考虑到苹果产品的用户数量,那就更是如此了。就在上周,苹果为iOS 11修复了一个可以远程控制Homekit的漏洞。尽管不那么引人关注,但是这个漏洞可以让动机不良的攻击者黑掉家中那些重要的智能设备,比如说门锁。

尽管从各方面来说,苹果在安全方面依然比它的竞争对手们做的好。但是安全研究人员还是认为,这种越来越高的漏洞爆发频率可能意味着一些深层次的问题。

“在我看来,苹果想要让旗下所有的平台——iOS、macOS、watchOS和tvOS——有统一的公共关系(PR)、产品管理和利于市场营销的年度更新周期,这才是制造那些麻烦的祸根。”PepijnBruienne如是说,他是一家名为Duo Security公司的研究员和开发者,专门关注苹果产品。“尽管我认为苹果平台的总体安全性依然是毫无疑问的业界翘楚,但这种不好的趋势似乎证明苹果在软件开发过程中的质量保证环节有些问题。”

一些研究人员也认为苹果在质量保证测试方面可能有些麻烦,推测要么是缺乏人力,要么是缺乏目标明确的管理。毕竟,苹果自己都说要“重新审视自身的开发流程”了。这可能暗示问题出在测试和审查代码方面,但是也可能像其他一些研究人员表示的那样:问题的根源在于苹果制定的每12个月就大幅更新旗下软件的周期带来的压力太大了。

“苹果在之前也遇到过问题,而且只要是软件就可能爆出漏洞,所以也不能完全责怪他们。”说这话的是Thomas Reed,Malwarebytes实验室中Mac和移动设备威胁跟踪和分析小组的组长。“真正不寻常的地方在于,上个月漏洞爆发数的增长太快了。这背后的问题可不仅仅是用巧合就能解释的。而且,大多数问题都发生在新发布的High Sierra和iOS 11上,这让人怀疑是不是他们因为赶工而把还不适合向大众发布的版本放出来了。”

一些Mac的老用户可能会怀念2009年苹果发布的OS X10.6 Snow Leopard系统,那是一个把一年前的Leopard版本精心打磨、反复修复问题之后发布的版本。Redd说:“Snow Leopard是个非常优秀、稳定的版本,因为苹果花了好多时间为这个版本修复问题。现在,苹果真心需要重复这个做法了,因为他们最近发布的每一个版本都太注重于添加新功能了。我觉得苹果公司应该在新特性方面稍稍放慢脚步,集中精力在下一个版本中修复漏洞。”

苹果在安全性上到底出了什么问题?
credit:锐景创意

这些显而易见的漏洞对于苹果未来的安全策略可能也会产生不良影响。iPhone和Mac的用户们通常会在系统更新发布后立即为手中的设备安装升级,而竞争对手Android的用户往往就不是这样。但是苹果在软件上越来越多的错误可能会让用户在升级手头设备时越来越迟疑,升级之前会先观望这些新软件会不会爆出什么问题。

一位资深的iOS开发者Marin Todorov说:“我有一段时间不用苹果软件的最新版本了。现在我都是跳过几次系统更新,观望看看新系统是不是工作正常。我希望苹果的高层引以为戒,目前看上去他们对于自己操作系统的用户体验和软件质量已经失去控制了。”

尽管目前的状况已经给一些关注于苹果产品的研究者和管理员造成了不小的麻烦,但苹果公司在安全问题上的姿态和手段还是要比其他的大型科技公司好上不少。而且近期苹果产品的安全问题很多都是因为研究人员不再私下将问题报告给苹果并等待修复,而是直接将漏洞予以公开。Lemi Orhan Ergin是一位土耳其软件开发者,是“root”漏洞的发现者之一。他就是用发推特的方式将漏洞知会苹果公司的。

本文译自 WRIED,由 Freez Sun 编辑发布。

赞一个 (4)