当前位置:首页 > 芯闻号 > 充电吧
[导读]导语:CNN财经网站本周刊文称,近期,苹果产品被曝出了一系列严重的信息安全漏洞。业内人士认为,在信息安全方面,当前的苹果就像是10年前的微软。以下为文章全文:“苹果电脑更安全,没有漏洞。”这样的观

导语:CNN财经网站本周刊文称,近期,苹果产品被曝出了一系列严重的信息安全漏洞。业内人士认为,在信息安全方面,当前的苹果就像是10年前的微软。

以下为文章全文:

“苹果电脑更安全,没有漏洞。”这样的观念已不再是事实。

我们已习惯于Windows PC存在的各种漏洞。然而过去几年,Mac电脑、iPad和iPhone也正在暴露越来越多的问题。2015年到目前为止,苹果产品已曝光了5个重大漏洞。

本周有报道称,利用Mac电脑的一个漏洞,黑客可以将病毒植入系统深处,而用户无法发现。一周前,iPhone被曝光存在一个漏洞,只需一条短信就能让iPhone崩溃。这些问题很严重,但到目前为止尚未得到修复。

每个系统、应用和软件中都存在错误的代码,但苹果修复漏洞的策略已经过时。苹果以往曾宣称,该公司的产品比微软的更安全,但目前已并非如此。目前的苹果与10年前的微软非常相像。

问题

计算机工程师、黑客,以及熟悉苹果策略的人士认为,关于信息安全,苹果存在5方面的错误:

1.苹果没有定期进行安全更新,更新频率也不够快

去年,苹果花了100天时间才修复由谷歌工程师发现的一个问题。2012年,针对一个名为“Flashback”的恶意软件,甲骨文迅速发布了Java的一个补丁。然而,苹果花了整整两个月时间才发布补丁。当时业内人士估计,有65万台Mac电脑被这一恶意软件感染。

信息安全研究公司Rapid7研究经理托德·贝尔德斯利(Tod Beardsley)表示:“与微软不同,苹果似乎并没有定期发布补丁的计划。他们也没有像谷歌对Chrome所做的一样,持续发布安全升级。某些时候,补丁发布速度很慢。而在某些情况下,补丁的开发确实比较困难。”

迅速发布补丁有时会起到反效果。从这种意义上来说,苹果对待漏洞就像是对待产品。苹果往往不会率先进入某一行业,而是计划做到最好。不过,长时间等待有可能导致严重的损失,使苹果产品的用户容易受到黑客攻击,进而造成个人信息被盗。

2.保密性

苹果通常不公开讨论安全漏洞。例如,苹果并未承认Mac电脑最新曝光的漏洞。尽管已确认了iPhone的短信漏洞,并提供了如何解决漏洞的建议,但苹果并未公布漏洞的根本原因。

贝尔德斯利表示:“苹果以非常神秘的方式去工作。关于确认存在的安全漏洞,苹果以保密而著称。”

更好的透明度将引起用户警觉,并促使苹果开发者社区去研究如何修复漏洞。从这一角度来看,保密是有害的。

3.只对最新软件进行升级

如果用户仍在使用老版本OS X系统,那么苹果不会为你提供补丁。

例如,苹果今年4月修复了一个严重漏洞,但仅针对最新版本OS X系统“Yosemite”。根据Net Market Share的数据,这意味着,苹果抛弃了47%使用老版本OS X系统的用户。

苹果的立场是什么?用户可以免费升级至最新版系统。情况确实如此,但这样做并不公平。一些较老的笔记本已无法运行最新版OS X系统。

4.不愿付费

对于查找漏洞的信息安全研究人员,苹果是唯一一家不愿支付报酬的主要科技公司。

此前有报道称,一些犯罪分子和间谍愿意以15万美元的高价获得iPhone的漏洞。但苹果在这方面却一毛不拔。

5.不承认错误

苹果不认错的态度令许多信息安全研究人员感到失望。例如,在去年iCloud“照片门”期间,苹果CEO蒂姆·库克(Tim Cook)表示,苹果将加强信息安全举措。不过他认为这是用户的问题,“而不是工程开发的问题”。

实际上,通过一些信息安全技术本可以避免iCloud明星裸照流出事件,例如要求用户启用两步验证机制。这是工程开发的问题。最终,苹果也向iCloud加入了这样的信息安全功能。

与苹果打交道并不容易。信息安全研究员谢诺·科瓦(Xeno Kovah)表示,即使是在最严重的情况下,例如当他向卡耐基梅隆大学计算机紧急响应团队报告一个严重软件漏洞时,苹果也没有像其他公司一样积极响应。

他认为:“苹果在漏洞修复方面存在问题。”

2012年,苹果平台的684名独立开发者发起了一项正式行动,要求苹果改善漏洞报告系统。不过他们表示,随后并没有发生什么改变。

苹果拒绝对这一报道置评。

微软的做法

许多知名黑客表示,与微软多年前类似,苹果的漏洞报告系统需要大幅调整。

15年前,Windows已经是用户最多的系统,但也遭到很多人的厌恶。当时的Windows系统漏洞很多。随后,微软改变了策略。

2003年,微软启动了“周二补丁日”计划。每个月,用户可以收到大量的安全更新。2005年,微软开始举办邀请参加的信息安全大会Blue Hat,与信息安全研究者进行面对面接触。然而,苹果并未举办过这样的论坛。

微软在信息安全方面最成功的一大策略是“漏洞报告奖励机制”,这一项目从2013年开始。通过此举,微软不再对抗黑客军团,而是将他们变成微软的“保卫者”。

微软前首席信息安全策略师、漏洞报告奖励机制的执行者凯蒂·穆苏里斯(Katie Moussouris)表示:“在对信息安全策略进行有意义的调整之前,微软被大量漏洞所困扰。希望苹果也能快速解决这一问题。”

那么,为何苹果在突然之间就遭遇了压力?穆苏里斯认为,苹果是“自身成功的受害者”。苹果产品已经非常火爆。更多的用户意味着黑客会更关注苹果的代码,因此也就有更多漏洞被发现。

不过好消息在于,苹果正在倾听公众的意见,而调整即将到来。

消息人士表示,苹果已意识到这些问题,而该公司正试图改善与信息安全研究人员的沟通。目前主要的挑战在于,如何应对快速增长。苹果会接到大量可能的漏洞报告,而苹果的信息安全团队希望优先关注更严重的漏洞,并区分真正的漏洞和误报。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭