9月11日电 北京时间9月13日凌晨,万众期盼、全球瞩目的苹果年度发布会将在新落成的乔布斯剧场举行,全世界的果粉们都在期待着iphone8的真容。
如果在这个时候告诉你,将近一半的iOS设备是不安全的,你会感到担忧吗?
百度安全实验室的一组研究数据显示:iOS最新版本发布已经50多天,国内的上亿台苹果iOS设备中,只有54%的设备升级到了最新版的10.3.3系统,其余的近半设备还停留在旧版本,这些用户正面临着高危漏洞的威胁,一不小心就可能成为下一个“艳照门”的主角。
苹果iOS迎来碎片化 旧版设备分散在44个版本中
跟安卓相比,iOS系统向来升级快、安全性高,因此深入果粉们的心。不过,最近百度安全却发现,事实上国内只有54%的用户升级到了最新的iOS 10.3.3系统,剩余的近半数国内iOS设备依然停留在受高危漏洞影响的旧版系统。即使最新的iPhone7系列机型,也有近32%的设备没有及时升级。
iOS系统的旧版本也呈现出了碎片化的趋势。没有升级的设备分散在44个iOS旧版本中。其中旧版iOS10的系统有11个,停留在这些版本的用户占27.3%。另外,还有超过18%的用户停留在iOS 10之前的版本。其中,发布已经两年的iOS 9 占比11.9%,发布已经三年的iOS 8 占比 6% 。
图1. 国内iOS设备系统版本分布(详细的系统版本比例分布图,从左半部分开始,逆时针方向按新旧版本次序依次为最新的iOS 10.3.3到4年前的版本iOS 7。)
从机型分类的数据可以看出,机型越老,系统更新及时性越差。这并不难理解,因为旧版设备的硬件性能相对比较差,升级到新版本的系统不但没有提升体验,反而可能更卡顿,更消耗内存和性能。所以很多iPhone5s、iPhone6的用户都不愿升级到最新版系统。所以每一次苹果新品发布,都意味着新版的iOS系统对硬件性能的要求进一步提升了。这不可避免的降低旧机型的用户体验,所以一部分旧版机型的用户会选择留在旧版iOS版本而不愿升级。
图2. 不同机型类别的系统版本分布(5类设备型号都存在一定比例的碎片化问题)
“过去的4年里,苹果iOS总共发布了45个版本。”百度安全专家解释称:“每个小版本都有一些用户停留,导致了系统版本的碎片化。只有一直保持升级到最新系统的用户才可能最大限度地免受安全威胁。”
不升级=风险被放大N倍
每一次系统升级都不是无缘无故,要么提升性能,要么打安全补丁,要么优化界面提升用户体验。这其中,安全性是最重要的更新。据统计,在过去的一年里,苹果陆续发布了12个iOS版本,总共修复338个安全漏洞。
新的系统版本发布之后,升级就意味着安全,不升级的风险却呈现出了几倍甚至几十倍的放大。为什么这么说?百度安全专家解释说,每次iOS系统发布新版本后,新版本已修复的部分漏洞细节以及利用方法会被研究者公开。甚至一些漏洞利用的完整代码也会公开发布供研究交流。这本是为安全技术发展做出的贡献,但同时也为黑客提供了便利。黑客不花一分钱就获得了攻击苹果系统的“大杀器”,对那些没升级的用户发起攻击。
还记得去年8月苹果紧急发布iOS9.3.5版本吗?版本升级只有一个原因:“提供了重要的安全性更新,推荐所有用户安装”。这次系统更新源于名叫“三叉戟”的系列0Day漏洞,果粉们只要访问一个恶意网站, 手机就可能被黑客远程越狱,获取最高权限,对手机进行操作、控制,可以查看摄像头、窃听你的谈话和录音,查看你的应用信息。要拿到你手机里的照片,就像探囊取物一样容易!这是苹果历史上第一次公开披露针对iOS的APT 0day攻击,并且在短时间内就火线修复了漏洞,并且强烈建议所有用户安装更新。但到现在为止,还有超过1/6的苹果设备还停留在比9.3.5更老的版本呢!可想而知,这些用户的隐私没准早就在网上裸奔了。
即使是最近的iOS 10.3.2,也一样含有高危漏洞。而且漏洞利用方法的研究性源码已经公开到著名开源托管网站github上。如果用户不及时升级到最新的iOS 10.3.3版本,也面临着严峻的安全威胁。
百度安全专家:尽快升级到最新版本
因为没有采用热修复技术(不用系统升级就能修复漏洞的技术称为“热修复”),所以苹果用户只能通过升级到最新版本,才能避免被恶意攻击。
百度安全统计发现,目前国内升级到 iOS 10.3.3的用户主要来自10.3.2这个版本,这部分用户升级习惯较好,会在接到新版本通知时及时升级系统。升级系统的设备中,近80%在发布后新版本的三周之内选择了升级,随后整个升级趋势放缓。其他各残留旧版本均有少量用户选择升级,但大多数用户仍然选择停留在旧版系统。
值得注意的是,iOS系统升级需要苹果服务端验证,服务端只允许iOS系统升级至当前的最新版,这种升级策略在一定程度上可以避免用户在部分中间版本有滞留,缓解安全生态碎片化的问题。然而,实际的统计结果显示,iOS安全生态碎片化问题依然存在,用户选择不升级的带来的安全隐患不容忽视。
北京时间9月13日,苹果将发布iOS11,在提供新功能同时,还会修复大量安全漏洞。百度安全建议广大用户在条件允许的情况下及时升级到最新版本,避免受到高危漏洞影响。“同时我们也呼吁手机厂商采用更有效的技术保护普通用户,防止他们受到已知高危漏洞的威胁。”