近日,《麻省理工科技评论》的一篇报告,曝光了苹果新近发布的iOS 10 内核并未加密,此举一出,业界哗然,人们称之为“破天荒”之举。
要知道,苹果过去多年不论是系统还是软件还是硬件均是以“封闭”著称,乔布斯不希望用户看到产品内部的复杂细节,苹果的理念一直被许多开源运动人士所诟病,其系统不只是不开放代码,还对内核进行加密,防止被黑客通过反编译等手段窥见内部处理细节。
操作系统内核,是指操作系统最核心的代码,在核心代码之外,才是基础设施级应用和第三方应用。内核是操作系统最关键的部分,苹果过去一直不希望被外界了解进而出现破解等问题。然而,“加密”依然无法阻挡住所有人,每一代iOS出现之后总会被高手“越狱”,今年苹果与FBI的拉锯战最终也以FBI成功破解iOS告终。
苹果官方对此的表态是,此举是刻意为之,而不是疏忽大意。
“内核的缓存中并不包含任何用户信息。在不加密的情况下,我们可以优化操作系统性能,同时不影响信息安全。”
有信息安全专家表示,内核加密与否根本不会对系统性能造成显著影响。加密不会让系统更慢或更快,解密不会让系统更快或更省电,对于计算机而言,它执行的是一样的命令,内核加密并不意味着它在执行每条命令之前要去解密,“加密”是针对人类加密,而不是计算机。所以,苹果或许是在撒谎。
真实原因究竟是什么?为了让全世界开发者一起来帮助iOS寻求漏洞进而帮助其改进?为何不直接开源呢?Windows就是前车之鉴,其并不开源也未加密,导致漏洞百出,成为黑客的福地,用户的噩梦。
库克时代的苹果在软件层面遇到了不少麻烦事儿,每一次iOS升级总会或多或少有BUG,苹果当下的软件团队能力已被各界质疑。将iOS内核解密,或许真的是苹果说的那样,想求助于外力来减少iOS的BUG;但也有可能是苹果又一次重大软件错误,现在如此表态只是将错就错,苹果的软件团队犯错已不是一次两次了,谁知道呢?
此外,雷锋网《苹果的心计:安全专家是怎么看iOS 10的“不加密”》一文的作者认为:“短期来说,iOS未必会更安全,甚至会发生更不安全的情况。”
文中写道:毕竟,这次下载研究更新包的不仅有白帽黑客,也有黑帽黑客。虽然白帽黑客里面的顶尖高手们都是在为理想和兴趣奋斗,可是人家黑帽那边也是一样啊,而且他们还有利益驱动。在苹果把iOS完整的放在双方面前的时候,如果一个0day被白帽和黑帽同时发现,你说是白帽通知苹果,然后等苹果修复快呢?还是黑帽整出一个蠕虫/钓鱼网页快呢?
所以,如果近期发生iOS上一定规模的攻击事件,我是不会惊讶的。
但是,这并不能说明苹果这次的做法失策了。因为安全界的攻防一直都是此消彼长,彼此学习的。黑帽方面暂时的领先,必然会被苹果学习借鉴,在新版中进行修复改进。所以长期来说,公开操作系统在安全上是会带来收益的。
最前沿的电子设计资讯
