iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?
作者:趨勢科技全球安全研究副總裁Rik Ferguson
大部分對行動作業系統及服務的疑慮都集中在Android平台相關的風險。這個生態系統開放且散佈廣泛的本質無疑地也讓它成為最普遍也最廣泛的目標,也遭受到最成功的攻擊。
Google 的 Android系統跟 Apple iOS 相較起來,一向都有著較不嚴謹的應用程式權限系統、因為支援第三方應用程式而更加開放的應用程式散播方式,更加廣泛地嵌入在各種設備和服務內。因為這些以及諸多原因,網路犯罪分子將注意力都集中在此平台上,幾乎忘了Apple iOS。事實上,我們目睹了惡意軟體和惡意應用程式在Android平台上出現無人可比的快速爆炸性成長。Android惡意軟體在僅僅三年內就達到Windows惡意軟體用上15年所達到的數量。
正因為如此,所以也可以理解為什麼 iPhone 使用者很容易就會陷入跟 Apple Mac OS 使用者一樣的迷思。他們相信自己所選的設備跟競爭對手比起來「更少漏洞」或「更加安全」。真的如此嗎?「較少被針對」真的等於「更加安全」嗎?答案是否定的;沒有上鎖的房子仍然可能被侵入,即便它還沒有被竊過。
一個對此的客觀評估是檢視各平台上通報的漏洞數量。結果可能令人驚訝。根據美國國家漏洞資料庫,iOS自其最初版本開始已經有了超過 400個漏洞,而 Android 以接近 350 個拿到第二名。因為iOS上市的時間稍微久一點,所以這細微的差別幾乎不值一提。更值得注意的是 iOS 平台上稀少的惡意軟體。
有兩個因素可能會在不久的將來結合起來打破這種不平衡的情況;一個由廠商控制,而另一個則顯然的不是。
現在一個關鍵的產業趨勢是融合,Apple也不例外,Mac OS 和 iOS 在功能上已經有越來越大程度的融合,誰敢說未來不會從程式碼資料庫的角度進行。桌面設備、行動設備、智慧型設備、居家視聽和穿戴式設備的融合會產生更加均勻和相互關聯的受攻擊面,無疑地會讓攻擊者想加以利用,再加上了使用者自以為刀槍不入的錯誤心理,對攻擊者來說變得非常具有吸引力。
第二個因素可以回顧到我們在2014年底所做的預測。會在未來12個月內看到第一次真正的跨平台漏洞攻擊包出現。這會提供一種自動化的方式來攻擊各種被針對系統的漏洞。如果是在智慧型手機上,這代表攻擊者可以打破應用程式商店環境的牢籠。不再需要依靠第三方應用程式商店和部分受害者的不當行為去安裝假應用程式。
跨平台漏洞攻擊包將讓攻擊者可以同等的攻擊 iOS和 Android,只要有漏洞存在,就跟他們在傳統的運算環境上所作的一樣。行動作業系統上的嚴重漏洞就會和桌上電腦一樣,對攻擊者來說具備相同的重要性、吸引力和價值,也會對防禦者帶來相同的問題。有鑒於行動裝置相當程度的整合在工作和個人生活而且缺乏管理,後果甚至可能更令人憂心….