蘋果的安全之缺

——2012年5月安全天下事

江海客

?

Mac OS X無疑是過去一段時間的安全焦點，這一切要從木馬Trojan/OSX.Flashback說起。盡管這個病毒在2011年末就已經(jīng)出現(xiàn)，但今年發(fā)現(xiàn)的新變種利用Java漏洞攻擊，在4月上旬達到了感染數(shù)量的峰值——部分反病毒廠商監(jiān)控到超過50萬臺主機（一說達到70萬）被感染。考慮到Mac OS X只是第二大桌面系統(tǒng)，這已經(jīng)是一個非常驚人的數(shù)字。

同一時期，該平臺的后門Trojan/OSX.SabPub也被發(fā)現(xiàn)與被稱為LuckyCat的APT攻擊之間存在聯(lián)系。這款后門工具利用Office文檔進行傳播。它位于加州的控制服務器的IP地址（199.192.152.*）曾經(jīng)在去年被Windows平臺惡意軟件所采用，這可能意味著一些針對性攻擊正在轉(zhuǎn)移突破方向。

值得一提的是，兩個惡意代碼的傳播和攻擊都使用了Java的一個已知漏洞（編號為CVE-2012-0507）。Oracle在今年二月底就已經(jīng)將這個漏洞補上，但蘋果公司堅持為Mac OS X維護自己的Java版本，因此該漏洞一直存在于這一平臺之上。

在類似的安全問題上，蘋果公司并不是第一次犯錯誤。2009年，它就曾因遲遲不修復CVE-2008-5353漏洞遭到了業(yè)內(nèi)的批評。

在如何應對自身的安全這一問題上，企業(yè)總存在與其根基和文化一脈相承的基因。曾有人評價蘋果公司像一個巨大的神秘組織，而神秘組織總是相信自己可以獨立地解決自身的安全問題。App Store堅定地維護著不允許發(fā)布反病毒軟件的原則，也似乎通過人工審核模式造就了無毒的神話。但實際上iBot早在四年前就已經(jīng)出現(xiàn)。對此蘋果公司也許還可以把責任推到“越獄”身上，然而這些年來，App Store上的惡意提交事件盡管遠遠少于Android Market，但也并非是零紀錄，號稱“遠程越獄”卻植入木馬的攻擊模式更是已經(jīng)多次出現(xiàn)。

Eugene Kaspersky評價說蘋果在安全方面落后微軟十年。盡管在部分果粉眼里，可以把這種評價看成是對蘋果封閉政策的不滿，但從一個安全從業(yè)者的角度，卻能感受到兩個業(yè)內(nèi)巨頭對于自身安全的不同處理方式。從MAPP的漏洞信息分享群防的機制、到微軟CTC等機構(gòu)對安全廠商的開發(fā)支持，我們都能感受到微軟為了改善安全性所做的努力。而蘋果至少沒有讓我們感受到同樣的模式體驗和成本投入。

作為一個選擇全封閉、不兼容產(chǎn)業(yè)模式的商業(yè)帝國，蘋果公司取得巨大成就在于其對體驗極致的追求和近乎完美的產(chǎn)業(yè)定位設計。但如果把第三方安全支撐能力完全摒棄在外，一個自身已經(jīng)成為復雜巨系統(tǒng)的體系，怎么可能具備獨善其身的能力呢？實際上，蘋果帝國的這種封閉，注定導致其不僅僅在安全上存在問題。比如，因為其封閉，Oracle此前一直沒有發(fā)布針對Mac OS X的Java7開發(fā)工具。

從iPod、iPhone到iPad的崛起軌跡，蘋果不僅摘取了個人智能終端的王冠，也推動了其PC平臺的反攻。同一時間，安全威脅也從病毒時代、蠕蟲時代逐步過渡到了竊密時代。如果說病毒時代需要更多考慮操作系統(tǒng)平臺和文件格式的選擇，蠕蟲時代需要更多針對主流的操作系統(tǒng)或者應用，那么在竊密時代，攻擊無論是高度定向的，還是撒網(wǎng)撈魚式的，都將使任何弱點成為突破口。諸多小眾系統(tǒng)和硬件都不能置身事外，何況裝機量已經(jīng)居于第二的Mac OS X和已經(jīng)在品牌分布上占據(jù)王座的iOS平臺智能終端產(chǎn)品。面對APT的空前威脅，Mac OS X會成為Rootkit開發(fā)和植入的優(yōu)選目標，iOS智能終端也會成為企業(yè)網(wǎng)IT治理的重擔和盲區(qū)。而蘋果自身快速安全響應機制不夠健全、對安全廠商高度排斥，如果不求變革，這些都將導致其陷入漫長的一個人的戰(zhàn)斗。當年，站在Unix的穩(wěn)定性和歷史底蘊的角度，大量開發(fā)者把奚落丟給了微軟和Win 9x，而今天，站在微軟陣營已經(jīng)形成的安全架構(gòu)的角度，這種奚落更多會被丟在蘋果頭上。

被咬了一口的蘋果徽標，在其被設計出來時是作為創(chuàng)意，隱含著對完美的追求；但站在一個安全工作者眼里，或者也可以看作蘋果安全之缺的畿語——任何封閉模式運行的帝國，在造就極大繁盛的同時，往往也埋藏著深重的安全危機。如果拒絕那些善意的力量，那么這種安全危機的不斷發(fā)酵，也許將使其封閉帶來的部分甚至全部收益逐步遭到侵蝕和清算。

?

鑒于上月我的同事在《程序員》所發(fā)一篇稿件出現(xiàn)一處筆誤，本期后面還追加了下列文字：

編輯注：肖新光指出《程序員》5月刊《探索D u q u木馬身世之謎》一文中以下文字有誤，“Dvldr（口令蠕蟲）和Lovgate（愛門蠕蟲）的制造者，就是通過同源性分析判斷為同一人”。研究表明Lovegate在版本改進中使用過Dvldr部分已被公開的密碼檔，但其他證據(jù)表明兩者沒有親緣關(guān)系。經(jīng)與原作者聯(lián)系，此處確系筆誤。特此更正。

?

總結(jié)

以上是生活随笔為你收集整理的2012年5月《苹果的安全之缺》的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。