苹果的心计:安全专家是怎么看iOS 10的内核“不加密”
2016-6-24 16:18:46 中国产业信息研究网 http://www.china1baogao.com/
前几天有一条新闻,没有在各大科技媒体上造成轰动,但是在安全圈子里面,却造成了不小的暗流。那就是:苹果iOS 10的更新包,忽然可以不加密下载了。配合上各路黑客以前发布的工具,大家发现,从iPod touch到iPhone到iPad,每个更新包都可以下载,然后从中提取出文件系统和操作系统内核内存的初始状态。如果这么说比较晦涩的话,这基本上就是拿到了iOS的上帝视角,从创世开始,iOS这个小世界里面的剧本和演员,就在你的眼前,把这出活剧,一步步的演下去。
在此之前,要想拿到苹果iOS的内核状态,需要去制作特殊的数据线来读取传输到设备的信号才行。这次没加密的内核更新包一出,各路黑帽白帽黑客们纷纷出手,有的高唱“漫卷诗书喜欲狂”,有的大喊“赶紧吃口热的”。写到这里,同事一脸黑线:你不黑自己人不行么?
话虽然糙点,但是这种心情是做安全的人都理解的。毕竟当时谁也不知道这是乌龙了还是故意的,还是赶紧趁数据还在,留个备份。随着时间的流逝,大家慢慢发现,苹果这次似乎并不是乌龙了,下载服务器一直稳稳当当的开着,下载的数据经过验证也是正确的,各种文件目录结构和符号表都在。 于是有人开始猜测:这次看起来是苹果刻意放出不加密的更新包。 但是这种猜测,放在一向神神秘秘的苹果身上,实在是太大胆了。
好在几个小时之前,各个消息渠道,包括 TechCrunch ,都从苹果得到官方确认,这次更新包不加密,是刻意为之。苹果这么做,是为了让安全研究员们,也就是我们平时说的白帽黑客们,能够更方便的研究iOS,以便帮助苹果做出更加安全的iOS产品。
那么这次苹果更新包事件,就是这么简单么?不见得。我们可以从这几个方面来看。
苹果这次更新包事件以后,iOS会更安全吗?
的看法是:短期来说, iOS未必会更安全,甚至会发生更不安全的情况。
毕竟,这次下载研究更新包的不仅有白帽黑客,也有 黑帽黑客 。虽然白帽黑客里面的顶尖高手们都是在为理想和兴趣奋斗,可是人家黑帽那边也是一样啊,而且他们还有利益驱动。在苹果把iOS完整的放在双方面前的时候,如果一个0day被白帽和黑帽同时发现,你说是白帽通知苹果,然后等苹果修复快呢?还是黑帽整出一个蠕虫/钓鱼网页快呢?
所以,如果近期发生iOS上一定规模的攻击事件,我是不会惊讶的。
但是,这并不能说明苹果这次的做法失策了。因为安全界的攻防一直都是此消彼长,彼此学习的。黑帽方面暂时的领先,必然会被苹果学习借鉴,在新版中进行修复改进。所以长期来说,公开操作系统在安全上是会带来收益的。
这次更新包事件以后,大家对iOS会更放心吗?
苹果是一家商业公司,是以盈利为目的的。这次放出更新包,如果没有商业利益,那也不必冒风险去做,毕竟之前的加密做法也是成熟流程了。这次改弦更张,我看还有一层意思,就是从消费者向企业甚至政府市场进军。和普通小白消费者不同,企业和政府对于一个来自其他公司,甚至其他国家的软硬件产品,还是会怀有深深的戒心。苹果虽然不会把源码拿出来,但是放出不加密的操作系统更新包,至少可以消减一部分人的疑虑,毕竟操作系统不再是黑盒了。
当然,如果以为能看到操作系统二进制代码加上文件系统,就以为看到了整个图灵机,那么我也只能说,这种想法是太简单,甚至有点幼稚了。要知道,苹果的iOS是运行在它自家产的增强型ARM处理器上面的。在2的4次方年以前,我曾经和一位MIT毕业的大牛交流过CPU架构的事情,当时他摸着手上那个河狸戒指,笑眯眯的说:如果你有几亿个晶体管可以玩,那你随便都能放点啥进去。
iOS产品的质量,以后会更好吗?
对于普通用户来说,最关心的其实还是以后iPhone会不会好用一些?从安全角度来说,iOS产品长期会更加安全,新买的iPhone也可能会更加快一点。不过,每年开苹果WWDC的时候,你的老iPhone,估计还是会照例变慢,催促你去买,买,买。
- 互联网界的「阿甘」:Ev Williams 立
- 邮箱依然有着无尽的潜力
- 《黑镜》情节成真,科学家想让你在虚拟中以数字身
- Apple Music出现播放bug: 可能和
- 为防黑客摄像头偷拍视频,扎克伯格用胶带遮摄像头
- 工信部回应“叫停免费电话”话外音:没有经营许可
- QingCloud Insight 2016前
- 奥巴马周五参加直播,与马克·扎克伯格一同探讨
- 日本人真会玩,研发用无人机撑伞
免责声明:
1、本网转载文章目的在于传递更多信息,我们不对其准确性、完整性、及时性、有效性和适用性等作任何的陈述和保证。本文仅代表作者本人观点,并不代表本网赞同其观点和对其真实性负责。
2、中国产业信息研究网一贯高度重视知识产权保护并遵守中国各项知识产权法律。如涉及作品内容、版权和其它问题,请马上与本网联系更正或删除,可在线反馈、可电邮(link@china1baogao.com)、可电话(0755-28749841)。