苹果最近修复了有史以来在iOS中发现的最严重的安全错误之一,该错误使FaceTime调用者可以在人们接听电话之前听到他们在说什么。 那么出了什么问题,我们可以防止另一场类似的灾难吗?
Apple不会公开提供其操作系统和应用程序的源代码。 只有公司自己的工程师,开发人员和质量保证人员才能测试和修复其应用程序中的错误。 苹果要求其员工签署有关其产品的严格保密协议。 这种围墙式的方法意味着我们必须信任Apple提供安全的产品。
也就是说,苹果公司拥有最强大的软件开发流程之一。 四十年来交付安全可靠的应用程序和产品为它的声誉提供了支持。 但是有时,由于保密(取决于保密性以确保安全性)而导致的安全性失败时有发生。 FaceTime错误就是一个例子。
与需要资源和专业知识才能发现和利用的复杂安全漏洞相比,FaceTime错误微不足道。 实际上,它是由一个14岁的年轻人和他的朋友一起玩Fortnite时发现的。
但这引发了一个问题:一家拥有Apple完整性的公司如何在其最常用的应用程序之一中遗漏如此明显的缺陷? 这是否是由不满的员工想要报仇引起的? 是政府植入的后门吗? 这是一个诚实的,百万分之一的错误,即使是最值得信赖的公司,也可能会被其防线所掩盖吗?
很难独立回答这个问题。 我们必须依靠Apple提供给我们的任何信息。 到目前为止,苹果只字不提,只是它已修复了iOS 12.1.4中的漏洞,并将奖励第一次报告该故障的亚利桑那少年。
我们也可能永远不知道该漏洞利用何时开始。 据报道,该错误适用于所有运行iOS 12.1或更高版本的设备。 iOS 12.1于2018年10月30日发布,添加了Group FaceTime,该功能包含窃听错误。 但是很难想象,在数亿个设备上公开运行的错误会在几个月后仍未被发现。 可能是由于Apple开发团队对FaceTime的服务器端软件进行了更新而在最近才引入了该错误。 同样,除非苹果告诉我们,否则我们不会知道。
相比之下,许多组织都有开放源代码政策,即在GitHub等平台上发布其应用程序的完整源代码,并让任何人都可以查看。 然后,独立专家和开发人员可以验证应用程序的安全性。
在过去的几年中,这种做法变得越来越流行,甚至吸引了一些历史上口口相传的参与者。
- iOS 12.1修复了iPhone光滑的皮肤自拍照问题iOS 12.1修复了iPhone光滑的皮肤自拍照问题
- 准备进行视频聊天了吗? 如何分组FaceTime准备进行视频聊天? 如何分组FaceTime
- 苹果最新的iOS更新修复了一个可怕的FaceTime错误苹果最新的iOS更新修复了一个可怕的FaceTime错误
透明性的一个很好的例子是安全消息应用程序Signal。 开发Signal的公司Open Whisper Systems已在GitHub上发布了其所有版本的应用程序的源代码。 该应用程序的源代码,其贡献者的全部历史记录以及对该应用程序所做的更改对所有人都是可见的。 Signal的源代码已经过数百位专家的审查,并获得了Bruce Schneier,Edward Snowden和Matt Green等行业领导者的认可。
这是否意味着开源应用程序没有安全漏洞? 离得很远。 包含成千上万行代码的应用程序是复杂的创建,并且无论有多少人查看该代码,都很难确保其安全。
实际上,Signal已经制造出了一些令人讨厌的错误,其中包括一个使黑客可以用纯文本窃取您的聊天记录的错误。 但是与诸如FaceTime之类的封闭源应用程序相比,任何人都可以轻松地跟踪诸如Signal之类的应用程序中漏洞的来源和原因,以及它们的产生时间以及哪些代码更改或新功能导致了它们。 但是在FaceTime错误的情况下,我们不得不推测。
透明建立信任。 模糊会破坏它。
