写点什么

苹果的安全神话即将结束?No!

  • 2015-10-21
  • 本文字数:1179 字

    阅读完需:约 4 分钟

在苹果 OS X 操作系统与微软 Windows 系列操作系统的比拼中,前者一直以起良好的安全性作为宣传重点。然而,近期 Bit9+ Carbon Black 安全公司发布的报告显示,OS X 系统中今年的恶意软件数量已经是过去5 年总和的5 倍。苹果的“安全神话”是否要就此终结呢?事实证明,苹果OS X 在短期内仍然相对安全!

随着苹果公司在桌面电脑的市场份额增加(约17% 左右),越来越多的黑客开始向OS X 系统发起攻击。Bit9+ Carbon Black 公司的报告显示,今年OS X 系统中出现的恶意软件数量已经达到了948 个,而从2010 年到2014 年的总和才180 个。此外,苹果系统今年暴露的安全漏洞数量也大大增加——今年已经有 276 个漏洞被发现 Palo Alto Networks 的安全研究员 Claud Xiao 表示,该数量已经超过了过去 15 年的平均数字,而且大约是去年的 4 倍。

相关安全专家表示,尽管数量在增加,苹果系统的安全性仍未受到颠覆性的冲击。在今年曝光的恶意软件中,超过一半与强迫用户浏览广告的adware 相关。这些软件会利用系统漏洞,诱导用户进行下载。而且,与Windows 相比,OS X 系统中恶意软件的数量仍然要少很多。亚利桑那州凤凰城 Securiosis 公司的分析师 Rich Mogull 表示,即使把 OS X 系统中曾经出现的所有恶意软件加在一起也比不上 Windows 系统中在一个小时内暴露的数量。

此外,在过去几年,苹果已经加强了历代 OS X 系统关键部件的安全,使得黑客更难攻击。例如,苹果在 2012 年引入了关键安全防御模块 Gatekeeper ,用于阻止非法签名软件的安装。在最新的 OS X EI Capitan 版中,苹果又引入了系统完整性保护(System Integrity Protection, SIP)机制。该技术包含了文件系统保护、运行时保护和内核扩展签名,通过限制对关键系统文件的访问权限、紧致关键系统执行状态下的代码注入以及强制性的签名等,提升系统的安全性。马里兰州Midlletown 的Mac 系统管理员、 DerFlounder 博客的作者 Rich Trouton 表示,SIP 有效阻止了黑客把代码放入系统文件中的机会。

另外一方面,苹果在长期系统的安全方面存在一定隐患。 Synack 公司的研发部经理 Patrick Wardle 一直在对 Gatekeeper 进行研究。在今年年初的时候,Wardle 曾经发现了绕过 Gatekeeper 的方法。在苹果针对该方法进行修复后,Wardle 又再次绕过了 Gatekeeper。Wardle 表示,苹果公司应该只是进行了最小修复,而不是针对这类问题采用了一种通用的解决方案。这种做法虽然速度快,但很可能会引起未来的大麻烦,实在让人担忧。Trouton 也表示,SIP 的做法也只是通过转移了黑客注意力来减少系统被攻击的次数。未来的苹果系统会怎么还很难预测。


感谢徐川对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-10-21 19:002304
用户头像

发布了 268 篇内容, 共 122.6 次阅读, 收获喜欢 24 次。

关注

评论

发布
暂无评论
发现更多内容

不习惯的Vue3起步三 の computed和watch

空城机

vue3.2 7月月更

羊城“论剑”!大湾区百家AI企业共话如何打牢人工智能“长链”的发展根基

Geek_2d6073

CSS 中 ::before 和 ::after 伪元素的几个实际用途

南城FE

CSS 前端 伪元素 7月月更

👨‍💻Mybatis源码我搞透了,面试来问吧!写了134个源码类,1.03万行代码!

小傅哥

源码分析 小傅哥 mybatis 大厂面试 面试经验

Spring Cloud源码分析之Eureka篇第八章:服务注册名称的来历

程序员欣宸

Java spring SpringCloud Eureka 7月月更

Kubernetes核心技术剖析和DevOps落地经验|研发效能

laofo

DevOps k8s 研发效能 工程效率

MFC|自绘Static控件

中国好公民st

c++ 7月月更

Qt | 显示网络图片 QNetworkAccessManager

YOLO.

网络 图片 qt 7月月更

Python+JS逆向哪里多?必然是登录逻辑,投资界登录pwd参数解析

梦想橡皮擦

Python 7月月更

低代码实现探索(四十四)检查器待研究

零道云-混合式低代码平台

双目立体匹配之代价聚合

秃头小苏

7月月更

SAP ABAP 系统同微软 Office 套件进行 Desktop Integration 的工作原理

汪子熙

Office SAP abap Netweaver 7月月更

更贴心、更好学的Python自动化办公教程!

博文视点Broadview

使用Gitlab Jenkins Docker建立CI部署方案

沃德

程序员 jenkins 7月月更

阿里云机器学习平台PAI与华东师范大学论文入选SIGIR 2022

阿里云大数据AI技术

Transformer 机器学习/深度学习

如何提交一个PR?完成这 6 点就可以了

OpenAnolis小助手

开发者 pull request 龙蜥社区 【人人都可以参与开源】 社区建设

面试突击64:了解 HTTP 协议吗?

王磊

Java 面试题

滴-EventBus快速使用介绍-新手考驾照

芝麻粒儿

android EventBus 7月月更

微服务项目中,Spring Security 比 Shiro 强在哪?

冉然学Java

编程 微服务架构 spring security Java’

打造“拉动式”企业培训管理方案,释放人才潜能

明道云

Git .ignore 文件规则不生效

攻城狮杰森

git IDEA 协同开发 7月月更

Kafka面试22连问,看完直接跟面试官聊骚都没问题

程序知音

Java kafka 程序员 后端 程序员面试

作用域与作用域链

是乃德也是Ned

JavaScript 前端 7月月更

【C语言】进阶指针Four

謓泽

7月月更

CSS Houdini:用浏览器引擎实现高级CSS效果

vivo互联网技术

CSS 前端 引擎 css动画

一站式 DevOps 平台,让开发大不同

SoFlu软件机器人

浅入浅出Mybatis(一)

ES_her0

7月月更

开源协议详解

源字节1号

开源 软件开发 前端开发 后端开发

js对象的key到底加不加引号?

南极一块修炼千年的大冰块

7月月更

利用ECS服务器搭建安防视频监控平台

DS小龙哥

7月月更

百花齐放的家居行业联盟,三翼鸟率先撬动三个赛点

脑极体

苹果的安全神话即将结束?No!_安全_张天雷_InfoQ精选文章