iOS 11再曝安全漏洞,為什麼蘋果這次升級系統如此草率?真的只是為了讓老機型卡頓換新機嗎?


一直強調安全、隱私保護的蘋果,在前段時間被曝出其iOS 11系統存在HomeKit的安全漏洞,可以被不法黑客進行攻擊從而控制用戶的智能家居設備,比如直接打開智能門鎖,隨後蘋果通過伺服器和系統更新修復了這個問題。這樣的事情發生在蘋果身上是難以置信的,近日這個漏洞的發現者,一為名叫Khaos Tian的開發者,特別發文講述這起事件的來龍去脈。

Khaos Tian在Medium的專欄中發文表示,蘋果的HomeKit主要由iOS上控制軟體和一個通訊協議組成,這次安全漏洞主要是出現在控制軟體中。iOS和watchOS上有兩個bug會允許非授權用戶發現HomeKit的唯一識別碼,用於控制智能家居設備,HomeKit在處理請求時並不會檢查發出遙控信息的用戶,這使得任何人都可以通過遙控來獲得對智能設備的使用權。

HomeKit didn』t check the sender of remote message before processing the request, which ended up allowing potentially anyone to remotely control HomeKit accessories in the home.

這位開發者特別提到,他在10月份發現這個問題的第二天(10月28日),便報告給了蘋果的產品安全團隊,蘋果有作了回復,也確實在後面數周對該問題進行了跟蹤排查,期間Tian多次電郵希望協助蘋果解決問題,但都沒有收到回復,Tian便以為蘋果已經可以修復漏洞。意外的是,蘋果反而在隨後的iOS 11.2系統更新中弄出了更多漏洞,使得HomeKit更容易受到攻擊和操縱。

因此在對蘋果這種笨拙、散漫和缺乏溝通的行為感到不滿後,Tian選擇把事情爆料給9to5Mac,讓大家知道了有這件危險的事情。這樣迫於公眾壓力下,蘋果的軟體工程師在48小時內便作了臨時的修復,主要是通過在伺服器端關閉了HomeKit允許用戶發送共享控制的功能。

即便這樣,蘋果也是在Tian報告該漏洞後6個星期,才作出了有效的反應,而真正的bug修復則是在本月14日的iOS 11.2.1系統更新上。這樣的安全漏洞修復工作效率,顯然是讓人對蘋果感到失望的,特別這是一家近萬億美元市值、常常講安全性的科技公司,實在不該有。


這是iOS11.2正式版曝出的問題,有HomeKit安全漏洞,蘋果也申明了會在下次版本更新中,修復該漏洞。

不得不說,自從iOS11面世以來,一直bug不斷,也緊急修復了很多次bug,比如上周的iOS11.2正式版出來,就是為了修復iOS11.1.2的"黑菊花"bug。

相信蘋果並不是草率的發版本,但是為什麼每發一個版本,修復了一些bug,又多了一些bug,原因不得而知。但看在蘋果在修復bug的處理上,還是很迅速的,大家還是體諒一點。


推薦閱讀:

為什麼家用路由器只要用點流量,內網延時就變高?
為什麼瀏覽網頁出現錯誤的時候會報404而不是其他數字?404有怎樣的含義?
Linux 系統下的入侵檢測系統為何現在好像沒多少人搞?
安全領域的 CTF (Capture the Flag) 競賽是怎麼組織?怎麼進行的?
安全團隊的 CTF 得分能代表哪方面的實力水平?

TAG:數碼 | 蘋果 | 信息安全 | 網路安全 | iOS |