PCDVD數位科技討論區 - 信息安全大麻煩：蘋果遭遇「微軟時刻」

引用:

CNN財經網站本週刊文稱，近期，蘋果產品被曝出了一系列嚴重的信息安全漏洞。業內人士認為，在信息安全方面，當前的蘋果就像是10年前的微軟。

「蘋果電腦更安全，沒有漏洞。」這樣的觀念已不再是事實。我們已習慣於Windows PC存在的各種漏洞。然而過去幾年，Mac電腦、iPad和iPhone也正在暴露越來越多的問題。2015年到目前為止，蘋果產品已曝光了5個重大漏洞。

本週有報導稱，利用Mac電腦的一個漏洞，黑客可以將病毒植入系統深處，而用戶無法發現。一週前，iPhone被曝光存在一個漏洞，只需一條短信就能讓iPhone崩潰。這些問題很嚴重，但到目前為止尚未得到修復。

每個系統、應用和軟件中都存在錯誤的代碼，但蘋果修復漏洞的策略已經過時。蘋果以往曾宣稱，該公司的產品比微軟的更安全，但目前已並非如此。目前的蘋果與10年前的微軟非常相像。

問題

計算機工程師、黑客，以及熟悉蘋果策略的人士認為，關於信息安全，蘋果存在5方面的錯誤：

1、蘋果沒有定期進行安全更新，更新頻率也不夠快

去年，蘋果花了100天時間才修復由谷歌工程師發現的一個問題。2012年，針對一個名為「Flashback」的惡意軟件，甲骨文迅速發佈了Java的一個補丁。然而，蘋果花了整整兩個月時間才發佈補丁。當時業內人士估計，有65萬台Mac電腦被這一惡意軟件感染。

信息安全研究公司Rapid7研究經理托德‧貝爾德斯利表示：「與微軟不同，蘋果似乎並沒有定期發佈補丁的計畫。他們也沒有像谷歌對Chrome所做的一樣，持續發佈安全升級。某些時候，補丁發佈速度很慢。而在某些情況下，補丁的開發確實比較困難。」

迅速發佈補丁有時會起到反效果。從這種意義上來說，蘋果對待漏洞就像是對待產品。蘋果往往不會率先進入某一行業，而是計畫做到最好。不過，長時間等待有可能導致嚴重的損失，使蘋果產品的用戶容易受到黑客攻擊，進而造成個人信息被盜。

2、保密性

蘋果通常不公開討論安全漏洞。例如，蘋果並未承認Mac電腦最新曝光的漏洞。儘管已確認了iPhone的短信漏洞，並提供了如何解決漏洞的建議，但蘋果並未公佈漏洞的根本原因。

貝爾德斯利表示：「蘋果以非常神秘的方式去工作。關於確認存在的安全漏洞，蘋果以保密而著稱。」更好的透明度將引起用戶警覺，並促使蘋果開發者社區去研究如何修復漏洞。從這一角度來看，保密是有害的。

3、只對最新軟件進行升級

如果用戶仍在使用老版本OS X系統，那麼蘋果不會為你提供補丁。例如，蘋果今年4月修復了一個嚴重漏洞，但僅針對最新版本OS X系統「約塞米蒂」。根據Net Market Share的數據，這意味著，蘋果拋棄了47%使用老版本OS X系統的用戶。
蘋果的立場是什麼？用戶可以免費升級至最新版系統。情況確實如此，但這樣做並不公平。一些較老的筆記本已無法運行最新版OS X系統。

4、不願付費
對於查找漏洞的信息安全研究人員，蘋果是唯一一家不願支付報酬的主要科技公司。此前有報導稱，一些犯罪分子和間諜願意以15萬美元的高價獲得iPhone的漏洞。但蘋果在這方面卻一毛不拔。

5、不承認錯誤

蘋果不認錯的態度令許多信息安全研究人員感到失望。例如，在去年iCloud「照片門」期間，蘋果CEO蒂姆‧庫克表示，蘋果將加強信息安全舉措。不過他認為這是用戶的問題，「而不是工程開發的問題」。

實際上，通過一些信息安全技術本可以避免iCloud明星裸照流出事件，例如要求用戶啟用兩步驗證機制。這是工程開發的問題。最終，蘋果也向iCloud加入了這樣的信息安全功能。
與蘋果打交道並不容易。信息安全研究員謝諾‧科瓦表示，即使是在最嚴重的情況下，例如當他向卡耐基梅隆大學計算機緊急響應團隊報告一個嚴重軟件漏洞時，蘋果也沒有像其他公司一樣積極響應。他認為：「蘋果在漏洞修複方面存在問題。」2012年，蘋果平台的684名獨立開發者發起了一項正式行動，要求蘋果改善漏洞報告系統。不過他們表示，隨後並沒有發生什麼改變。蘋果拒絕對這一報導置評。

微軟的做法

許多知名黑客表示，與微軟多年前類似，蘋果的漏洞報告系統需要大幅調整。15年前，Windows已經是用戶最多的系統，但也遭到很多人的厭惡。當時的Windows系統漏洞很多。隨後，微軟改變了策略。

2003年，微軟啟動了「週二補丁日」計畫。每個月，用戶可以收到大量的安全更新。2005年，微軟開始舉辦邀請參加的信息安全大會Blue Hat，與信息安全研究者進行面對面接觸。然而，蘋果並未舉辦過這樣的論壇。

微軟在信息安全方面最成功的一大策略是「漏洞報告獎勵機制」，這一項目從2013年開始。通過此舉，微軟不再對抗黑客軍團，而是將他們變成微軟的「保衛者」。
微軟前首席信息安全策略師、漏洞報告獎勵機制的執行者凱蒂‧穆蘇里斯(Katie Moussouris)表示：「在對信息安全策略進行有意義的調整之前，微軟被大量漏洞所困擾。希望蘋果也能快速解決這一問題。」

那麼，為何蘋果在突然之間就遭遇了壓力？穆蘇里斯認為，蘋果是「自身成功的受害者」。蘋果產品已經非常火爆。更多的用戶意味著黑客會更關注蘋果的代碼，因此也就有更多漏洞被發現。不過好消息在於，蘋果正在傾聽公眾的意見，而調整即將到來。
消息人士表示，蘋果已意識到這些問題，而該公司正試圖改善與信息安全研究人員的溝通。目前主要的挑戰在於，如何應對快速增長。蘋果會接到大量可能的漏洞報告，而蘋果的信息安全團隊希望優先關注更嚴重的漏洞，並區分真正的漏洞和誤報。

這樣回想起來，蘋果對於自身OS漏洞似乎都是輕描淡寫，用戶的資料安全就如此不值嗎?

反觀微軟長年累月被用戶罵怕了，對漏洞比較肯花資金去解決 :laugh: