2012年5月《苹果的安全之缺》

苹果的安全之缺

——2012年5月安全天下事

江海客

 

Mac OS X无疑是过去一段时间的安全焦点，这一切要从木马Trojan/OSX.Flashback说起。尽管这个病毒在2011年末就已经出现，但今年发现的新变种利用Java漏洞攻击，在4月上旬达到了感染数量的峰值——部分反病毒厂商监控到超过50万台主机（一说达到70万）被感染。考虑到Mac OS X只是第二大桌面系统，这已经是一个非常惊人的数字。

同一时期，该平台的后门Trojan/OSX.SabPub也被发现与被称为LuckyCat的APT攻击之间存在联系。这款后门工具利用Office文档进行传播。它位于加州的控制服务器的IP地址（199.192.152.*）曾经在去年被Windows平台恶意软件所采用，这可能意味着一些针对性攻击正在转移突破方向。

值得一提的是，两个恶意代码的传播和攻击都使用了Java的一个已知漏洞（编号为CVE-2012-0507）。Oracle在今年二月底就已经将这个漏洞补上，但苹果公司坚持为Mac OS X维护自己的Java版本，因此该漏洞一直存在于这一平台之上。

在类似的安全问题上，苹果公司并不是第一次犯错误。2009年，它就曾因迟迟不修复CVE-2008-5353漏洞遭到了业内的批评。

在如何应对自身的安全这一问题上，企业总存在与其根基和文化一脉相承的基因。曾有人评价苹果公司像一个巨大的神秘组织，而神秘组织总是相信自己可以独立地解决自身的安全问题。App Store坚定地维护着不允许发布反病毒软件的原则，也似乎通过人工审核模式造就了无毒的神话。但实际上iBot早在四年前就已经出现。对此苹果公司也许还可以把责任推到“越狱”身上，然而这些年来，App Store上的恶意提交事件尽管远远少于Android Market，但也并非是零纪录，号称“远程越狱”却植入木马的攻击模式更是已经多次出现。

Eugene Kaspersky评价说苹果在安全方面落后微软十年。尽管在部分果粉眼里，可以把这种评价看成是对苹果封闭政策的不满，但从一个安全从业者的角度，却能感受到两个业内巨头对于自身安全的不同处理方式。从MAPP的漏洞信息分享群防的机制、到微软CTC等机构对安全厂商的开发支持，我们都能感受到微软为了改善安全性所做的努力。而苹果至少没有让我们感受到同样的模式体验和成本投入。

作为一个选择全封闭、不兼容产业模式的商业帝国，苹果公司取得巨大成就在于其对体验极致的追求和近乎完美的产业定位设计。但如果把第三方安全支撑能力完全摒弃在外，一个自身已经成为复杂巨系统的体系，怎么可能具备独善其身的能力呢？实际上，苹果帝国的这种封闭，注定导致其不仅仅在安全上存在问题。比如，因为其封闭，Oracle此前一直没有发布针对Mac OS X的Java7开发工具。

从iPod、iPhone到iPad的崛起轨迹，苹果不仅摘取了个人智能终端的王冠，也推动了其PC平台的反攻。同一时间，安全威胁也从病毒时代、蠕虫时代逐步过渡到了窃密时代。如果说病毒时代需要更多考虑操作系统平台和文件格式的选择，蠕虫时代需要更多针对主流的操作系统或者应用，那么在窃密时代，攻击无论是高度定向的，还是撒网捞鱼式的，都将使任何弱点成为突破口。诸多小众系统和硬件都不能置身事外，何况装机量已经居于第二的Mac OS X和已经在品牌分布上占据王座的iOS平台智能终端产品。面对APT的空前威胁，Mac OS X会成为Rootkit开发和植入的优选目标，iOS智能终端也会成为企业网IT治理的重担和盲区。而苹果自身快速安全响应机制不够健全、对安全厂商高度排斥，如果不求变革，这些都将导致其陷入漫长的一个人的战斗。当年，站在Unix的稳定性和历史底蕴的角度，大量开发者把奚落丢给了微软和Win 9x，而今天，站在微软阵营已经形成的安全架构的角度，这种奚落更多会被丢在苹果头上。

被咬了一口的苹果徽标，在其被设计出来时是作为创意，隐含着对完美的追求；但站在一个安全工作者眼里，或者也可以看作苹果安全之缺的畿语——任何封闭模式运行的帝国，在造就极大繁盛的同时，往往也埋藏着深重的安全危机。如果拒绝那些善意的力量，那么这种安全危机的不断发酵，也许将使其封闭带来的部分甚至全部收益逐步遭到侵蚀和清算。

 

鉴于上月我的同事在《程序员》所发一篇稿件出现一处笔误，本期后面还追加了下列文字：

编辑注：肖新光指出《程序员》5月刊《探索D u q u木马身世之谜》一文中以下文字有误，“Dvldr（口令蠕虫）和Lovgate（爱门蠕虫）的制造者，就是通过同源性分析判断为同一人”。研究表明Lovegate在版本改进中使用过Dvldr部分已被公开的密码档，但其他证据表明两者没有亲缘关系。经与原作者联系，此处确系笔误。特此更正。