蘋果不見得比較安全

蘋果電腦比較安全的印象深植人心，很多人買了蘋果電腦之後，什麼也不考慮就直接上網了。但是，一旦買的是Windows電腦，卻自然而然想到先裝了防毒軟體再說。對我而言，這已成了一種慣性。

Windows平臺的病毒、蠕蟲橫行網路，木馬程式、軟體漏洞更是層出不窮，相較之下，蘋果電腦平臺可說是淨土了。

很多人使用蘋果電腦一輩子都沒裝過防毒軟體，照常上網也沒發生什麼問題；同時，在新興的行動App方面，也因為蘋果採取嚴格的集中審查、統一管道發布的策略，讓iOS App也保持在高度安全的狀態。只要不是越獄破解，一切都由蘋果線上商店下載App，則幾乎毫無安全問題，當然，也就鮮少有人會為iPhone安裝防毒軟體。

難道這是蘋果電腦天生比較安全嗎？由於蘋果的Mac OS X是立基於Unix系統，在架構上確實有其安全的設計，但並不代表蘋果電腦就徹底安全，只是蘋果電腦一直不是網路攻擊鎖定的主要對象，而根本原因是蘋果電腦的使用者數量相較Windows而言太少了。

當今網路犯罪的目的，無非是竊取龐大利益，就經濟效益而言，最有效益的攻擊目標是絕大多數人在使用的Windows電腦，想盡辦法去攻擊蘋果電腦，可能完全占不到什麼便宜。即使蘋果電腦平臺存在有機可乘的漏洞，可能也不會有駭客想要花心力製作病毒。

因為這種微妙的關係，長久以來蘋果電腦使用者宛如生活在一個有機無毒的世界，久而久之也就認為蘋果電腦就是淨土了。但是，隨著網路使用習慣、網路犯罪模式的改變，以及蘋果電腦使用者逐漸增加，整個情況已經有所不同了。

如果使用者還一直認為蘋果電腦毫無安全疑慮，因而絲毫不在意相關安全訊息，那麼將會像是溫水煮青蛙一樣，等到問題爆發的那一天，可能就措手不及。而這麼一天，其實已經來了。

就在上周五（2/21），蘋果釋出iOS 7.0.6修正版，當我看到更新訊息時，其實並不急著更新，習慣上認為應該就跟過去一樣，調整一些系統功能，就算晚個幾天更新也無妨。豈知，看了新聞報導才知道，原來是為了修補一個重大的SSL安全漏洞問題。

資安專家接連指出這是一個很嚴重的問題，因為SSL是現今網頁程式用於資料傳輸保密的重要技術，而iOS所曝露的SSL驗證漏洞，卻能讓有心人士從中攔截訊息，甚至竄改資訊。例如使用者在公眾場合上網，即使在驗證帳號或執行線上交易的過程中有SSL加密保護，但仍有可能被駭客竊取帳號密碼，或從中竄改交易資訊。

此一事件爆發之後，有些資安專家再進一步追查，更發現不只是iPhone手機的iOS平臺有安全疑慮，就連蘋果電腦最新的Mac OS X Mavericks作業系統也有相同的問題。然而蘋果在2月21日卻只提供iOS平臺的修補程式，直到2月26日才提供Mac OS X的修補程式，Mac OS的使用者在這幾天其實是曝露在高度資安風險中。

所以，即便在不久的將來內，蘋果電腦平臺依然不會有什麼病毒爆發，但並不代表蘋果電腦就一定是安全的。面對相關的軟體更新時，也必須與Windows平臺一樣保持警覺。

另一方面，釀成此一程式如此嚴重的安全漏洞，竟然只是因為SSL驗證程式中多了一行「goto fail」指令所致。然而，為何蘋果的程式檢查沒有找出這個錯誤呢？眾說紛云。有人說是程式設計師輸入不慎，也有人推測是自動合併程式碼所致，不論如何，這都是一個值得開發團隊警惕的案例。