查看原文
其他

赶紧更新!苹果曝出安全漏洞

脚本之家 2022-09-23

The following article is from 科技狐 Author 果子

 关注脚本之家”,与百万开发者在一起

来源 | 科技狐 (ID:kejihutv)
作者:果子
已获得原公众号的授权转载
最近果子不时刷到 iPhone 14 系列开始量产的新闻,想来库克已经在筹备苹果秋季发布会的事了。
不过人算不如天算,8月20日,央视财经频道引用美联社报导,苹果于当地时间周三曾发布两份安全报告。
报告披露,iPhone、iPad 以及 iMac 等产品都存在严重的安全漏洞。

据了解,这次漏洞影响范围很大,其中包括 iPhone 6S 及以后的型号;
五代及以后的 iPad,所有 iPad Pro以及 iPad Air 2;
所有运行 MacOS Monterey 的 Mac。
不仅如此,这个漏洞还影响到了部分 iPod。
这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限,甚至完全控制设备并运行其中的应用软件。
还好这次事件没有造成重大影响,苹果已经找到了修复这个漏洞的方法,并呼吁用户赶紧安装最新的补丁以修补产品漏洞。
据悉 8 月 17 日、18 日,苹果发布多个安全性更新。
包括 iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1、watchOS 8.7.1 和 Safari 浏览器 15.6.1。
有收到更新通知的狐友,建议更新。

产品漏洞已如家常便饭

这种安全漏洞问题不止苹果有过,高通、AMD、英特尔的产品其实都有过安全漏洞,大部分都很快修复了。
有时候会影响性能,有时候不会。
2021 年,研究机构 Check Point 的一名安全研究人员就表示,高通的 5G 调制解调器数据服务中存在漏洞,黑客通过这个漏洞可以访问用户的通讯,甚至窃听电话。

仅在 2020 年一年里,Check Point 就在高通骁龙数字信号处理器中发现了超过 400 个安全漏洞。
惊不惊喜,意不意外,400 个漏洞什么水平?
就是研究人员每天都能在高通骁龙数字信号处理器上发现 1 个漏洞。
所以说,科技公司的产品有漏洞已经是见怪不怪了,就看谁能够又快又好地把手尾收拾干净。
有时候,因为漏洞被攻破的条件很苛刻,产商甚至懒得发补丁。毕竟用户的私人电脑可不在黑客的实验室。
比如今年六月的时候,研究机构的安全人员就发现了一个普遍存在于英特尔和 AMD 处理器中的漏洞。
动态电压频率缩放(DVFS)功能普遍用来降低处理器的功耗,利用它再加上主动监测服务器响应时间,就能通过功耗分析窃取用户的加密数据。
研究机构的安全人员利用这个漏洞,分别在 36 小时和 89 小时时间里提取出了 Cloudflare 加密库 CIRCL 和微软 PQCrypto-SIDH 中的全部密钥。
禁用处理器的睿频功能可以缓解这个漏洞带来的问题,但这对用户使用产生了严重影响。
就不说英特尔和 AMD 没发补丁了,就算他们发了补丁,果子也不用。对果子来说,隐私安全哪有游戏帧数重要。

漏洞存在的原因

无论这些科技巨头修复漏洞的速度有多快都只是亡羊补牢。对于漏洞,最好的做法永远是发行之前完全解决,防患于未然。
这道理狐友懂果子懂科技公司也懂,但漏洞仍屡见不鲜。
一方面,科技公司会给自己留一个“后门”,方便后续应对突发事件。
举个最简单的例子,手机产商可以随时热补丁控制用户手机处理器的性能调度策略。
按照厂商的说法,这是“优化用户体验”,但却没有在更新说明中详细描述补丁内容,让用户自己选择。
显然,这不只是“优化用户体验”,也可能是在变相降低自己的售后成本。

另一方面,在产品维护的过程里,工作人员的变动不可避免,使用环境也在不断变化,漏洞产生的可能性不断提升。
这不是在帮科技公司找借口,而是换程序员真的容易出 bug。
假设一个程序原本由一个十人团队开发完成,几年后原本的开发人员全部跳槽了,维护的都不是曾经的开发人员,他们是很难完全理解并熟知每一行代码的。
除此之外,新技术不断产出会破坏旧的规则。一个东西在发行的时候是安全没漏洞的,但几年后新技术出现可能会攻破旧的安全规则。
举个比较通俗易懂的例子,在奥尼尔打 NBA 之前是没有防守三秒的,中锋直接杵在篮下就好了。
后来联盟发现奥尼尔在这个规则下防守太厉害了,于是便增加了防守三秒的规则,不让他一直杵在篮下。

这个道理放在科技圈也是一样的,开发人员也无法预料未来会发生什么。

苹果安卓谁更安全?

手机上存放着我们日常生活大量的隐私,它的安全问题也日渐受到关注。尽管漏洞无法避免,但我们作为消费者有选择权。
在苹果这两份安全报告披露之前,很多用户都觉得苹果手机比安卓手机更安全。

不久前,信息安全服务公司 Beyond Identy 进行过一项调查,有近 49% 的安卓用户因为安全与隐私问题考虑转而使用 iPhone。

同时这项调查的结果表明 iPhone 用户本更关注手机位置跟踪等与隐私有关的信息。

就是不知道这个消息披露后,因为隐私安全选择苹果的用户会不会反转一波。加上苹果最近还有增加广告投放的传闻,看起来是要向安卓对齐,开始摆烂的节奏。
不过,就以目前的现状来看,苹果的隐私安全还是比安卓要好。
一是苹果操作系统是不开源的,光是这点就大大提高了系统的安全性。
二来,苹果可以统一管理和约束应用开发商,安卓厂商太多导致政策并不统一。
在苹果秋季发布会这个时间节点上,用户最关心的肯定就是新的 iPhone 14 系列会不会受到这次漏洞的影响?
虽说苹果已经及时修复了相关漏洞,但用户花五六千甚至一万块买了一台新手机,回家第一件事就是打补丁修漏洞也未免太滑稽了。
这可不符合苹果这种体面公司的作风。

*网传的 iPhone 14 图片

要果子说,以后也别吹 iPhone 的安全和隐私保护了。还不都是同行衬托的,加大力度督促安卓厂商进步,让厂商内卷起来,这对消费者来说才是好事。
参考资料:

TechWeb:苹果又出事了!iPhone、iPad、iMac 等产品被曝存在严重安全漏洞
IT之家:最新漏洞引热议,黑客可远程窃取密钥,英特尔、AMD 均受影响

编辑:黑白

<END>

程序员专属T恤

商品直购链接 👇

  推荐阅读:

这是一件程序员才懂的T恤

拖动文件就能触发7-Zip安全漏洞,波及所有版本
Win11系统禁用了IE浏览器,可一直有人试图唤醒它

一个软件打磨了24年,被安装超过100亿次,居然赚不到钱?

35年前的老古董,如今在微信上又焕发了青春

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存