趕緊更新,蘋果曝出安全漏洞

36氪
更新時間:

最近果子不時刷到 iPhone 14 系列開始量產的新聞,想來庫克已經在籌備蘋果秋季發佈會的事了。

不過人算不如天算,8月20日,央視財經頻道引用美聯社報導,蘋果於當地時間週三曾發佈兩份安全報告。

報告披露,iPhone、iPad 以及 iMac 等產品都存在嚴重的安全漏洞。

據瞭解,這次漏洞影響範圍很大,其中包括 iPhone 6S 及以後的型號;

五代及以後的 iPad,所有 iPad Pro以及 iPad Air 2;

所有運行 MacOS Monterey 的 Mac。

不僅如此,這個漏洞還影響到了部分 iPod。

這些漏洞可能會讓潛在的攻擊者入侵使用者裝置、獲得管理權限,甚至完全控制裝置並運行其中的應用軟體。

還好這次事件沒有造成重大影響,蘋果已經找到了修復這個漏洞的方法,並呼籲使用者趕緊安裝最新的補丁以修補產品漏洞。

據悉 8 月 17 日、18 日,蘋果發佈多個安全性更新。

包括 iOS 15.6.1、iPadOS 15.6.1、macOS Monterey 12.5.1、watchOS 8.7.1 和 Safari 瀏覽器 15.6.1。

有收到更新通知的狐友,建議更新。

1 產品漏洞已如家常便飯

這種安全漏洞問題不止蘋果有過,高通、AMD、英特爾的產品其實都有過安全漏洞,大部分都很快修復了。

有時候會影響性能,有時候不會。

2021 年,研究機構 Check Point 的一名安全研究人員就表示,高通的 5G 數據機資料服務中存在漏洞,駭客通過這個漏洞可以訪問使用者的通訊,甚至竊聽電話。

僅在 2020 年一年裡,Check Point 就在高通驍龍數字訊號處理器中發現了超過 400 個安全漏洞。

驚不驚喜,意不意外,400 個漏洞什麼水平?

就是研究人員每天都能在高通驍龍數字訊號處理器上發現 1 個漏洞。

所以說,科技公司的產品有漏洞已經是見怪不怪了,就看誰能夠又快又好地把手尾收拾乾淨。

有時候,因為漏洞被攻破的條件很苛刻,產商甚至懶得發補丁。畢竟使用者的私人電腦可不在駭客的實驗室。

比如今年六月的時候,研究機構的安全人員就發現了一個普遍存在於英特爾和 AMD 處理器中的漏洞。

動態電壓頻率縮放(DVFS)功能普遍用來降低處理器的功耗,利用它再加上主動監測伺服器響應時間,就能通過功耗分析竊取使用者的加密資料。

研究機構的安全人員利用這個漏洞,分別在 36 小時和 89 小時時間裡提取出了 Cloudflare 加密庫 CIRCL 和微軟 PQCrypto-SIDH 中的全部金鑰。

停用處理器的睿頻功能可以緩解這個漏洞帶來的問題,但這對使用者使用產生了嚴重影響。

就不說英特爾和 AMD 沒發補丁了,就算他們發了補丁,果子也不用。對果子來說,隱私安全哪有遊戲幀數重要。

2 漏洞存在的原因

無論這些科技巨頭修復漏洞的速度有多快都只是亡羊補牢。對於漏洞,最好的做法永遠是發行之前完全解決,防患於未然。

這道理狐友懂果子懂科技公司也懂,但漏洞仍屢見不鮮。

一方面,科技公司會給自己留一個「後門」,方便後續應對突發事件。

舉個最簡單的例子,手機產商可以隨時熱補丁控制使用者手機處理器的性能調度策略。

按照廠商的說法,這是「最佳化使用者體驗」,但卻沒有在更新說明中詳細描述補丁內容,讓使用者自己選擇。

顯然,這不只是「最佳化使用者體驗」,也可能是在變相降低自己的售後成本。

另一方面,在產品維護的過程裡,工作人員的變動不可避免,使用環境也在不斷變化,漏洞產生的可能性不斷提升。

這不是在幫科技公司找藉口,而是換程式設計師真的容易出 bug。

假設一個程序原本由一個十人團隊開發完成,幾年後原本的開發人員全部跳槽了,維護的都不是曾經的開發人員,他們是很難完全理解並熟知每一行程式碼的。

除此之外,新技術不斷產出會破壞舊的規則。一個東西在發行的時候是安全沒漏洞的,但幾年後新技術出現可能會攻破舊的安全規則。

舉個比較通俗易懂的例子,在奧尼爾打 NBA 之前是沒有防守三秒的,中鋒直接杵在籃下就好了。

後來聯盟發現奧尼爾在這個規則下防守太厲害了,於是便增加了防守三秒的規則,不讓他一直杵在籃下。

這個道理放在科技圈也是一樣的,開發人員也無法預料未來會發生什麼。

3 蘋果Android誰更安全?

手機上存放著我們日常生活大量的隱私,它的安全問題也日漸受到關注。儘管漏洞無法避免,但我們作為消費者有選擇權。

在蘋果這兩份安全報告披露之前,很多使用者都覺得蘋果手機比Android手機更安全。

不久前,資訊安全服務公司 Beyond Identy 進行過一項調查,有近 49% 的Android使用者因為安全與隱私問題考慮轉而使用 iPhone。

同時這項調查的結果表明 iPhone 使用者本更關注手機位置跟蹤等與隱私有關的資訊。

就是不知道這個消息披露後,因為隱私安全選擇蘋果的使用者會不會反轉一波。加上蘋果最近還有增加廣告投放的傳聞,看起來是要向Android對齊,開始擺爛的節奏。

不過,就以目前的現狀來看,蘋果的隱私安全還是比Android要好。

一是蘋果作業系統是不開放原始碼的,光是這點就大大提高了系統的安全性。

二來,蘋果可以統一管理和約束應用開發商,Android廠商太多導致政策並不統一。

在蘋果秋季發佈會這個時間節點上,使用者最關心的肯定就是新的 iPhone 14 系列會不會受到這次漏洞的影響?

雖說蘋果已經及時修復了相關漏洞,但使用者花五六千甚至一萬塊買了一台新手機,回家第一件事就是打補丁修漏洞也未免太滑稽了。

這可不符合蘋果這種體面公司的作風。

網傳的 iPhone 14 圖片

要果子說,以後也別吹 iPhone 的安全和隱私保護了。還不都是同行襯托的,加大力度督促Android廠商進步,讓廠商內捲起來,這對消費者來說才是好事。

參考資料:

TechWeb:蘋果又出事了!iPhone、iPad、iMac 等產品被曝存在嚴重安全漏洞

IT之家:最新漏洞引熱議,駭客可遠端竊取金鑰,英特爾、AMD 均受影響

本文來自微信公眾號「科技狐」(ID:kejihutv),作者:果子,編輯:黑白,36氪經授權發佈。

本文經授權發布,不代表36氪立場。

如若轉載請註明出處。來源出處:36氪

◤果粉快搶 限時下殺◢
iphone13限量瘋殺 換新機趁這檔
M1高效率MacBook Air 電腦不再發燙
Apple福利品再95折 來去搶便宜
Airpods降噪耳機 高清晰音質推薦
Apple Watch系列 健康監測更便利