CNET科技资讯网 6月28日 国际报道:在星期五排队抢购iPhone的人群当中,很少有人会关注这种新手机的安全性。但一些有影响力的安全研究者已经对此表示担忧。
IBM互联网安全系统部的安全专家Neel Mehta就是如此,他一般只关注大企业的安全问题。
总的来说,Mehta认为iPhone的安全性将比市面上的其它智能手机好,他将苹果缺乏软件开发工具(SDK)作为一个原因。他说,缺乏SDK将让编写恶意代码更具难度,一般没有经验的犯罪分子会望而却步。Mehta说:“这并不是不可能完成的任务,只是缺乏SDK,编写恶意代码的任务会变得更加的困难。”
Mehta认为,iPhone将吸引那些喜欢研究复杂系统的犯罪分子。目前,Symbian操作系统手机占领了40%到50%的全球市场,大部分的毛贼仍然将Symbian作为攻击的目标。
在iPhone即将上市之前,CNET新闻网站采访了Mehta。
问:iPhone最大的安全威胁是什么?
Mehta:无数双眼睛将盯上iPhone平台以及它上面的全部程序,最大的威胁可能就是这种手机本身要经历人们详细的检验。
问:你认为那些最先使用它的用户会成为网络犯罪分子的攻击目标吗?因为这部分人比一般人更有钱。对于一名犯罪分子来说,盗窃这部分的数据要比盗窃其它人的有回报得多。
Mehta:准备购买iPhone的人一方面舍得掏500美金购买一部智能手机,一方面也相当精通技术。它是一部手机,另外,我认为它的市场定位在于个人消费者,而非企业,因为它的功能对个人消费者来说更具吸引力,比如下载,媒体播放的功能等等。
因此,一些企业的个别员工可能会使用iPhone,但在有严格设备使用规定的企业,这种现象不会很普遍。所以,不排除有高级攻击者会将矛头对准iPhone用户,但在企业环境中,还有其它通讯设备,例如黑莓机等,这些设备更容易成为目标,至少从短期来讲是这样的。
问:你提到了这部手机的市场营销定位是一部消费手机。那意味着它将预装很多富媒体程序。这将如何影响iPhone的总体安全性?
Mehta:你可以将它看成是一种便携式的计算机设备,而不单是一部手机。它将可以播放音频,视频,连接无线网络或者个人电脑。它还可以收发电子邮件,它可能具有Mac OS X操作系统的全部功能,因此,这种设备很复杂,这对安全性来说更具有挑战性。
我们可以看看其它的智能手机的情况,当它们变得越来越复杂,功能越来越多,黑客攻破它的机会也就越来越大。iPhone手机可能是我们迄今为止见过的最复杂的一部智能手机,它的安全性也面临最大的考验。因此,我们很有可能见到iPhone升级软件,打上补丁的情况出现。
问:谈到漏洞,最近Mac OS X就爆出了一些漏洞。Mac OS X是基于unix的。会不会出现这种可能,即随着人们对Mac OS X的兴趣的增大,有人会将Unix的漏洞移植到苹果机上干坏事?
Mehta:苹果机是在BSD Unix系统基础上发展而来的。iPhone手机上的OS X操作系统很有可能也源自同样的代码层。但是,决定移植Unix漏洞难易程度的一个关键因素可能是iPhone手机中的处理器。目前,我们不知道这种处理器究竟是什么。如果它是英特尔生产的一种处理器,那么情况就和现有的苹果电脑差不多。如果是英特尔处理器,那么攻击者要想移植Unix漏洞到iPhone并不是难事。
但如果是ARM处理器,情况就会不同。ARM是移动设备处理器市场的霸主,但对那些已经编写过Unix或者苹果机环境漏洞病毒的人来说,ARM处理器要陌生得多。处理器的架构变化了,编写病毒的难度也会增加,他们要花时间去研究新的架构。苹果对iPhone手机使用的处理器一直讳莫如深。在星期五之前,一切都是猜测而已。
问:我保证,有人会在购买iPhone后立即将其拆卸并撰写解剖报告。苹果已经略微谈到了一些iPhone软件或固件升级的情况。从激活手机到升级软件,所有的工作都要通过iTunes来进行,对吧?
Mehta:iPhone很有可能要经常与PC连接,其它苹果设备,比如iPod,连接PC非常迅速,非常容易。例如,如果你想升级iPod上的程序,你只要将它连上电脑,按一个键就能够升级iTunes软件中的固件了。有些人喜欢在两台手机之间升级软件,但这并不是升级智能手机的常见形式。智能手机存在的一个最大问题就是升级不太方便。假如你问智能手机用户,上次升级软件是在什么时候,大部分人会盯着你看,好像你疯了一样,因为,很少有人升级智能手机。
大多数情况,这些设备缺乏无线升级机制,也没有考虑到连接到电脑的固件升级设计。一些智能手机的固件升级需要你备份手机当中的所有联系人清单及数据,重新格式化整台机器,如此等等。因此,这些原因造成了智能手机的升级频率不是很频繁。
如果苹果将iPhone的升级变得和升级其它苹果设备(象iPod)一样容易,那么它将帮助其它智能手机厂商做出改进,这样一来,即使有安全漏洞出现也没有什么事。升级工作做得比较好的平台是黑莓机,它能够从企业服务器上升级软件,并可以由企业的IT部门来管理这种智能手机。但是,其它手机基本上很难进行升级,他们需要你手工搜索升级补丁,然后自己安装它们。
问:那么iPhone的升级可能会很容易,但似乎还有另外一个薄弱环节,这就是浏览器。即使你给自己的手机全部打上了补丁,犯罪分子仍然可能利用网站去劫持iPhone,例如,让iPhone感染恶意病毒。但这并不是是苹果Safari浏览器本身存在漏洞,对吧?
Mehta:是的。你说的没错。如果你看看过去一两年浏览器的安全情况,你就会发现情况非常糟糕。浏览器已经变得庞大并且复杂。我们现在知道,iPhone中有Safari浏览器,第三方的文件程序都要经由Safari,经由Ajax的处理。因此,很有可能苹果机或者Windows电脑中的Safari漏洞也会在iPhone中被利用。
我认为,这只是iPhone面临的很小的威胁,更大的威胁在于,iPhone是基于Mac OS X操作系统,攻击者们有可能会将苹果机上发现的漏洞加以分析,利用,并将其移植到iPhone。我们很有可能见到苹果未来会同时为苹果机与iPhone上的Safari浏览器公布补丁。虽然它是一种封闭的平台,但它仍然有一定的透明度,因为它要和其它一些平台分享代码。
我猜测,一些低级攻击者很有可能会研究苹果机平台或者Windows上的Safari漏洞,然后将它简单的应用于iPhone上,以观察攻击是否奏效。有人
已经公开表示,Safari漏洞将影响iPhone手机。