夜雨聆风
4月3号,工信部发布通报说有人偷偷攻击苹果手机,用的手法很老套,就是发短信或邮件让人点链接,打开网页后系统自己就开门了,关键这个门是Safari浏览器的WebKit引擎开的,它能串通权限漏洞最终控制手机,偷走照片和通讯录,用户根本不知道发生了什么。
受影响的设备从iOS 13.0一直到17.2.1,这包括三年前甚至更早的iPhone和iPad,很多人没有升级系统,不是他们不想升,而是实在升不了——有些单位的设备绑着老软件,一升级就会瘫痪,有些老年人只会用几个旧APP,换了新系统就找不着,还有人在国外,连更新都下载不动,苹果嘴上总说“快点升级”,实际上这些人确实动不了。
说来奇怪,苹果在4月1号提前发布了补丁,不仅修复了新系统的漏洞,还给iOS 17及更早的系统单独推送了安全更新,这种事以前几乎没出现过,苹果向来只维护最新版本,旧设备通常只能自己想办法,这次破例说明公司也意识到不是所有用户都及时升级系统。
这两个漏洞只需要打开网页就能触发,不用安装APP,也不需要点击允许,一点开就中招,这其实说明一个问题,浏览器现在相当于手机的总闸门,一旦它出问题,整个系统都会受影响,黑客早就改用网页投毒的方式,用户连察觉的机会都没有。
安卓系统那边经常被批评碎片化问题严重,补丁更新拖上半年是常有的事,苹果公司一直把闭环生态当作优点来宣传,结果这次他们也得回头为老系统打补丁,技术发展得太快了,人跟不上节奏,再封闭的系统也只好承认这一点。
现在有个问题,如果某个政府部门坚持用iOS 15系统来办公,苹果公司就需要继续为这个系统单独修补漏洞,这时候安全责任应该由谁来承担,目前还没有明确的规定,但企业已经在承担这些本不该由他们负责的事情。
