作者:builder.com.cn 2007年7月3日
关键字:
问:谈到漏洞,最近Mac OS X就爆出了一些漏洞。Mac OS X是基于unix的。会不会出现这种可能,即随着人们对Mac OS X的兴趣的增大,有人会将Unix的漏洞移植到苹果机上干坏事?
Mehta:苹果机是在BSD Unix系统基础上发展而来的。iPhone手机上的OS X操作系统很有可能也源自同样的代码层。但是,决定移植Unix漏洞难易程度的一个关键因素可能是iPhone手机中的处理器。目前,我们不知道这种处理器究竟是什么。如果它是英特尔生产的一种处理器,那么情况就和现有的苹果电脑差不多。如果是英特尔处理器,那么攻击者要想移植Unix漏洞到iPhone并不是难事。
但如果是ARM处理器,情况就会不同。ARM是移动设备处理器市场的霸主,但对那些已经编写过Unix或者苹果机环境漏洞病毒的人来说,ARM处理器要陌生得多。处理器的架构变化了,编写病毒的难度也会增加,他们要花时间去研究新的架构。苹果对iPhone手机使用的处理器一直讳莫如深。在星期五之前,一切都是猜测而已。
问:我保证,有人会在购买iPhone后立即将其拆卸并撰写解剖报告。苹果已经略微谈到了一些iPhone软件或固件升级的情况。从激活手机到升级软件,所有的工作都要通过iTunes来进行,对吧?
Mehta:iPhone很有可能要经常与PC连接,其它苹果设备,比如iPod,连接PC非常迅速,非常容易。例如,如果你想升级iPod上的程序,你只要将它连上电脑,按一个键就能够升级iTunes软件中的固件了。有些人喜欢在两台手机之间升级软件,但这并不是升级智能手机的常见形式。智能手机存在的一个最大问题就是升级不太方便。假如你问智能手机用户,上次升级软件是在什么时候,大部分人会盯着你看,好像你疯了一样,因为,很少有人升级智能手机。
大多数情况,这些设备缺乏无线升级机制,也没有考虑到连接到电脑的固件升级设计。一些智能手机的固件升级需要你备份手机当中的所有联系人清单及数据,重新格式化整台机器,如此等等。因此,这些原因造成了智能手机的升级频率不是很频繁。
如果苹果将iPhone的升级变得和升级其它苹果设备(象iPod)一样容易,那么它将帮助其它智能手机厂商做出改进,这样一来,即使有安全漏洞出现也没有什么事。升级工作做得比较好的平台是黑莓机,它能够从企业服务器上升级软件,并可以由企业的IT部门来管理这种智能手机。但是,其它手机基本上很难进行升级,他们需要你手工搜索升级补丁,然后自己安装它们。
问:那么iPhone的升级可能会很容易,但似乎还有另外一个薄弱环节,这就是浏览器。即使你给自己的手机全部打上了补丁,犯罪分子仍然可能利用网站去劫持iPhone,例如,让iPhone感染恶意病毒。但这并不是是苹果Safari浏览器本身存在漏洞,对吧?
Mehta:是的。你说的没错。如果你看看过去一两年浏览器的安全情况,你就会发现情况非常糟糕。浏览器已经变得庞大并且复杂。我们现在知道,iPhone中有Safari浏览器,第三方的文件程序都要经由Safari,经由Ajax的处理。因此,很有可能苹果机或者Windows电脑中的Safari漏洞也会在iPhone中被利用。
我认为,这只是iPhone面临的很小的威胁,更大的威胁在于,iPhone是基于Mac OS X操作系统,攻击者们有可能会将苹果机上发现的漏洞加以分析,利用,并将其移植到iPhone。我们很有可能见到苹果未来会同时为苹果机与iPhone上的Safari浏览器公布补丁。虽然它是一种封闭的平台,但它仍然有一定的透明度,因为它要和其它一些平台分享代码。
我猜测,一些低级攻击者很有可能会研究苹果机平台或者Windows上的Safari漏洞,然后将它简单的应用于iPhone上,以观察攻击是否奏效。有人
已经公开表示,Safari漏洞将影响iPhone手机。
京公网安备 11010802021500号