iOS安全性指南使蘋果iOS安全問題遭質疑

2012/12/14 21:57:05  出處：本站原創   人氣：47次    字號：小  中  大

iOS安全性指南是蘋果公司第一次真正地公開解釋iOS背后的安全架構。對于那些不熟悉蘋果產品的人來說，iOS是運行iPhone、iPad和iPod的操作系統。該文檔涵蓋了iOS系統架構、加密、數據和網絡安全，以及設備接入等方面的信息。雖然很多這些信息從未正式曝光過，但安全專家早已經解密了文檔中提到的大部分功能。然而，地址空間布局隨機化（ASLR）的部署對于很多人來說仍然很新鮮，而蘋果對iOS應用的代碼簽名過程是如何運作的詳細說明解釋了這個有點神秘的過程。

ASLR主要用于防止攻擊者利用內存損壞漏洞，自Windows Vista推出以來，微軟就一直鼓吹ASLR。我們很高興地知道，iOS開發環境Xcode會對開啟ASLR支持的第三方程序進行自動編譯。這個代碼簽名過程要求所有可執行代碼使用蘋果授權的證書進行簽名，這使蘋果能夠控制哪些應用允許在iOS設備運行，并且，這在蘋果安全架構中起著核心作用。蘋果會審查App Store中的所有第三方應用，以確保他們能夠按其描述的進行操作，且不包含明顯的漏洞或者其他問題。蘋果能夠知道可識別的個人或者企業提交了應用，因為在審核過程中應用進行了簽名。

與Android環境的安全問題相比，iOS可謂小巫見大巫，在Android環境，惡意代碼已經成為很嚴重的問題。但iOS的缺點在于，礙于沙箱、API限制和其他蘋果開發人員政策，我們很難創建安全配置監控應用來捕捉iOS系統的狀態。Android操作系統的開放性意味著應用可以很容易地訪問Android設備的安全狀態。而iOS設備只能通過網絡來從外部監控設備正在做什么，正在與誰通信以及正在傳輸哪些數據。

iOS安全性指南的第一句話就指出，蘋果在設計iOS平臺時，將安全作為其核心，因此，在安全性方面，iOS肯定比很多其他移動操作系統更勝一籌。該指南將幫助安全團隊更好地了解蘋果移動設備的內部構造，從而進行更詳細的風險評估。任何移動設備都存在風險，而我認為是用戶制造了大部分風險，而不是設備本身。美國國家安全局（NSA）對蘋果iOS的安全配置建議可以用于加強連接到企業網絡的設備的安全性，但同樣重要的是，請確保用戶知道如何安全地使用移動設備。