继 CEO 蒂姆库克在最近的一次会议上发表安全声明后,Apple 开始努力保护其 App Store 分发模式的安全,发布了一份白皮书,认为强制应用程序的侧面加载将使该平台及其用户远离 不太安全。
安全并不简单
这是一个有道理的论点。 任何参与企业安全的人都知道,任何企业中最大的安全问题是企业中的人。 人是会犯错的,当今一代的黑客和破解者已经非常擅长识别和攻击个人,以帮助在更大目标的安全中制造漏洞。
Apple 的论点——允许从第三方商店不受限制地侧载应用程序将创建一个新的攻击面——是完全有道理的。 然而,欧盟和其他地方目前正在考虑的立法建议强制执行侧面装载。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
这真的不应该发生。
那么 Mac 呢?
一些人认为这与 Mac 上的安全模型没有什么不同,后者允许从各种来源安装应用程序。 我们知道,随着采用率的提高,该平台已成为一个越来越有吸引力的目标。
Apple 不同意将 Mac 视为 iOS 应用程序分发的模板。 它不仅认为 iOS 平台比 Mac 大 10 倍,而且我们使用这些平台的方式也有所不同:
iPhone 用户定期下载应用程序,这扩大了攻击面的范围。
Mac 用户倾向于只安装他们需要的应用程序。
它还指出,在安全受到威胁的情况下,智能手机会收集大量独特的个人数据。 位置、关系、联系人、网站搜索、文档、数据、银行详细信息以及生活中的所有其他片段都收集在这些东西上。
这些数据的性质既是个人的又是广泛的,超过了在 Mac 上收集的信息。 这意味着那些设法从您的移动设备中获取数据的人可以构建出您生活模式的完整图景。
“我相信我们已经构建的产品和我们现在为用户提供的产品都更好,因为我们可以专注于更小的攻击面和我们更强大的保护,以帮助确保用户安全,”Apple 代表说。
与此同时,该公司表示,它认为目前形式的 Mac 安全性是一个问题。
App Store 模型提供了什么
为了保护用户和生态系统,Apple 的 App Store 提供自动恶意软件扫描、审查应用程序描述和功能是否存在错误以及审查应用程序访问的数据。 它还确保针对儿童的软件符合更高的保护标准。
批评者指出 Apple 的错误是它并不总是正确保护这种保护的证据,但这样做也证明了问题确实存在的严重程度。 如果 Apple 不监管其平台,情况会怎样?
幸运的是,我们已经知道了答案。
Android 在转向采用更多类似 Apple 的安全性的同时,恶意软件感染率是 iPhone 的 15 倍。 这在一定程度上是因为可以从多个来源下载 Android 应用程序。
今年早些时候,Apple 发布了它声称说明安全挑战规模的数据。 2020 年,公司每周审查约 10 万个应用程序,拒绝/删除近百万个问题应用程序。 其中大约 10% 的内容因犯罪意图而被删除,而 20% 的内容则违反了隐私准则。
这是一项大生意
Apple 的白皮书引用的研究表明,在第三方网站上发布的盗版应用程序每年让开发商损失数十亿美元的收入。 但盗版应用程序的分发并不是依赖松散平台安全模型的最大业务。 那些向执法部门出售 iPhone 解锁解决方案的阴暗公司正从他们的漏洞利用中赚取大笔资金,但就恶意软件所赚的钱而言,即使是他们的财富也相形见绌。
Apple 的数据反映了这方面的规模。 该公司已将 470,000 个团队因欺诈行为从 Apple Developer Program 中开除。 它还拒绝了 205,000 次不可靠的注册尝试。
现代 Apple 犯罪的另一个方面是应用评论被用来帮助建立对可能具有欺诈或犯罪意图的应用的信任。 苹果公司表示,由于欺诈和滥用活动(包括虚假评论),它停用了 2.44 亿个客户帐户,反映了这一问题的规模。 由于所谓的“欺诈和滥用模式”,它还拒绝了 4.24 亿次创建新客户帐户的尝试。
所有这些数据的重要性应该很清楚。 这不是要看 Apple 为保护其客户和平台所做的工作,而是要说明其壁垒已经保护我们免受浪潮的规模。
如果……会怎样?
如果 iOS 平台上的侧载成为强制性的,那么数以万计的恶意开发人员将立即有商机来创建旨在窃取您数据的欺诈性应用程序,并得到数百万虚假评论的支持。
“恶意行为者会利用这个机会,投入更多资源来开发针对 iOS 用户的复杂攻击,从而扩大武器化利用和攻击的范围——通常被称为“威胁模型”——所有用户都需要受到保护, ”苹果说。
这会迅速削弱平台安全性并使用户容易受到攻击。 这样做还会破坏企业安全,在 Apple 的平台上释放出一股新的恶意软件浪潮,随着勒索软件的泛滥,最终损害每家企业和每一位客户。
我们知道这会发生,因为它已经发生了:每个平台的安全性都受到攻击,并且坚持让一个平台在设计上变得不那么安全将会对每一个正在经历数字化转型的公司造成严重破坏。
历史不是模板
毕竟,仅仅因为其他平台允许侧载并不意味着这是正确的决定。 它反映了在网络化程度低得多的时代存在的应用程序分发模型,当时软件以软件包、CD 和软盘的形式提供。
我至少记得有一次事件,当时一家杂志出版商无意中分发了一张包含软件演示的封面磁盘,其中也包含恶意软件。 应用程序互联网分发的相对较新的演变反映了这些分发模型,但当数十亿用户容易被蒙骗下载恶意应用程序时,这真的是一种可行的方法吗?
我认为应将应用程序的侧面加载视为不可避免的历史异常现象。 它反映了一个风险较低、市场规模较小、设备收集的信息更为有限的时代。 每个允许这样做的平台上的恶意软件祸害应该足以证明,并且它不会随着平台的继续激增而停止。
今天,你有一个选择
就目前情况而言,您可以选择。 您可以选择允许侧载的平台,并承担由此带来的所有风险。 或者您可以选择 Apple 的精选平台,对于任何想要最佳隐私和安全性的人来说,这是正确的选择。 对于注重安全的企业用户来说,这无疑是合适的选择。
通过侧载削弱这些模型将放大整个移动企业的风险。 因为人是最薄弱的环节,即使每家公司都强制要求官方应用程序下载来源,也会有一两个人无视该建议。
当涉及到用蠕虫、特洛伊木马或微型后门程序感染您的企业系统以实现数据泄露时,只需一次成功的攻击即可破坏边界安全。
如果强制执行侧载会怎样?
如果政府强制 Apple 支持侧载,你可以放心,坏人会使用他们武器库中的所有工具来利用这个机会。 他们的创造性方法将涵盖高度针对性的网络钓鱼攻击、虚假的应用程序下载站点和恶意软件出没的开发环境,所有这些都得到看似真实的评论网络的支持,这些评论旨在让可疑用户确信这些恶作剧是安全的。
这些攻击的范围如此之广,以至于人们会回顾 20 世纪 90 年代末影响 Windows 和 Internet Explore 的恶意软件的疯狂爆炸,将其视为应用程序安全的黄金时代。 事实并非如此。
苹果当然会做出回应,但损害已经造成,结果将是任何用户、任何企业、任何政府和任何行业都不会再像现在这样安全。
谁从中受益? 没有人。
