蘋果電腦比較安全的印象深植人心,很多人買了蘋果電腦之後,什麼也不考慮就直接上網了。但是,一旦買的是Windows電腦,卻自然而然想到先裝了防毒軟體再說。對我而言,這已成了一種慣性。

Windows平臺的病毒、蠕蟲橫行網路,木馬程式、軟體漏洞更是層出不窮,相較之下,蘋果電腦平臺可說是淨土了。

很多人使用蘋果電腦一輩子都沒裝過防毒軟體,照常上網也沒發生什麼問題;同時,在新興的行動App方面,也因為蘋果採取嚴格的集中審查、統一管道發布的策略,讓iOS App也保持在高度安全的狀態。只要不是越獄破解,一切都由蘋果線上商店下載App,則幾乎毫無安全問題,當然,也就鮮少有人會為iPhone安裝防毒軟體。

難道這是蘋果電腦天生比較安全嗎?由於蘋果的Mac OS X是立基於Unix系統,在架構上確實有其安全的設計,但並不代表蘋果電腦就徹底安全,只是蘋果電腦一直不是網路攻擊鎖定的主要對象,而根本原因是蘋果電腦的使用者數量相較Windows而言太少了。

當今網路犯罪的目的,無非是竊取龐大利益,就經濟效益而言,最有效益的攻擊目標是絕大多數人在使用的Windows電腦,想盡辦法去攻擊蘋果電腦,可能完全占不到什麼便宜。即使蘋果電腦平臺存在有機可乘的漏洞,可能也不會有駭客想要花心力製作病毒。

因為這種微妙的關係,長久以來蘋果電腦使用者宛如生活在一個有機無毒的世界,久而久之也就認為蘋果電腦就是淨土了。但是,隨著網路使用習慣、網路犯罪模式的改變,以及蘋果電腦使用者逐漸增加,整個情況已經有所不同了。

如果使用者還一直認為蘋果電腦毫無安全疑慮,因而絲毫不在意相關安全訊息,那麼將會像是溫水煮青蛙一樣,等到問題爆發的那一天,可能就措手不及。而這麼一天,其實已經來了。

就在上周五(2/21),蘋果釋出iOS 7.0.6修正版,當我看到更新訊息時,其實並不急著更新,習慣上認為應該就跟過去一樣,調整一些系統功能,就算晚個幾天更新也無妨。豈知,看了新聞報導才知道,原來是為了修補一個重大的SSL安全漏洞問題。

資安專家接連指出這是一個很嚴重的問題,因為SSL是現今網頁程式用於資料傳輸保密的重要技術,而iOS所曝露的SSL驗證漏洞,卻能讓有心人士從中攔截訊息,甚至竄改資訊。例如使用者在公眾場合上網,即使在驗證帳號或執行線上交易的過程中有SSL加密保護,但仍有可能被駭客竊取帳號密碼,或從中竄改交易資訊。

此一事件爆發之後,有些資安專家再進一步追查,更發現不只是iPhone手機的iOS平臺有安全疑慮,就連蘋果電腦最新的Mac OS X Mavericks作業系統也有相同的問題。然而蘋果在2月21日卻只提供iOS平臺的修補程式,直到2月26日才提供Mac OS X的修補程式,Mac OS的使用者在這幾天其實是曝露在高度資安風險中。

所以,即便在不久的將來內,蘋果電腦平臺依然不會有什麼病毒爆發,但並不代表蘋果電腦就一定是安全的。面對相關的軟體更新時,也必須與Windows平臺一樣保持警覺。

另一方面,釀成此一程式如此嚴重的安全漏洞,竟然只是因為SSL驗證程式中多了一行「goto fail」指令所致。然而,為何蘋果的程式檢查沒有找出這個錯誤呢?眾說紛云。有人說是程式設計師輸入不慎,也有人推測是自動合併程式碼所致,不論如何,這都是一個值得開發團隊警惕的案例。

作者簡介


Advertisement

更多 iThome相關內容