蘋果設備也迎來碎片化 百度安全專家提示儘快升級
9月11日電 北京時間9月13日凌晨,萬眾期盼、全球矚目的蘋果年度發佈會將在新落成的喬布斯劇場舉行,全世界的果粉們都在期待着iphone8的真容。
如果在這個時候告訴你,將近一半的iOS設備是不安全的,你會感到擔憂嗎?
百度安全實驗室的一組研究數據顯示:iOS最新版本發佈已經50多天,國內的上億台蘋果iOS設備中,只有54%的設備升級到了最新版的10.3.3系統,其餘的近半設備還停留在舊版本,這些用户正面臨着高危漏洞的威脅,一不小心就可能成為下一個“豔照門”的主角。
蘋果iOS迎來碎片化 舊版設備分散在44個版本中
跟安卓相比,iOS系統向來升級快、安全性高,因此深入果粉們的心。不過,最近百度安全卻發現,事實上國內只有54%的用户升級到了最新的iOS 10.3.3系統,剩餘的近半數國內iOS設備依然停留在受高危漏洞影響的舊版系統。即使最新的iPhone7系列機型,也有近32%的設備沒有及時升級。
iOS系統的舊版本也呈現出了碎片化的趨勢。沒有升級的設備分散在44個iOS舊版本中。其中舊版iOS10的系統有11個,停留在這些版本的用户佔27.3%。另外,還有超過18%的用户停留在iOS 10之前的版本。其中,發佈已經兩年的iOS 9 佔比11.9%,發佈已經三年的iOS 8 佔比 6% 。
圖1. 國內iOS設備系統版本分佈(詳細的系統版本比例分佈圖,從左半部分開始,逆時針方向按新舊版本次序依次為最新的iOS 10.3.3到4年前的版本iOS 7。)
從機型分類的數據可以看出,機型越老,系統更新及時性越差。這並不難理解,因為舊版設備的硬件性能相對比較差,升級到新版本的系統不但沒有提升體驗,反而可能更卡頓,更消耗內存和性能。所以很多iPhone5s、iPhone6的用户都不願升級到最新版系統。所以每一次蘋果新品發佈,都意味着新版的iOS系統對硬件性能的要求進一步提升了。這不可避免的降低舊機型的用户體驗,所以一部分舊版機型的用户會選擇留在舊版iOS版本而不願升級。
圖2. 不同機型類別的系統版本分佈(5類設備型號都存在一定比例的碎片化問題)
“過去的4年裏,蘋果iOS總共發佈了45個版本。”百度安全專家解釋稱:“每個小版本都有一些用户停留,導致了系統版本的碎片化。只有一直保持升級到最新系統的用户才可能最大限度地免受安全威脅。”
不升級=風險被放大N倍
每一次系統升級都不是無緣無故,要麼提升性能,要麼打安全補丁,要麼優化界面提升用户體驗。這其中,安全性是最重要的更新。據統計,在過去的一年裏,蘋果陸續發佈了12個iOS版本,總共修復338個安全漏洞。
新的系統版本發佈之後,升級就意味着安全,不升級的風險卻呈現出了幾倍甚至幾十倍的放大。為什麼這麼説?百度安全專家解釋説,每次iOS系統發佈新版本後,新版本已修復的部分漏洞細節以及利用方法會被研究者公開。甚至一些漏洞利用的完整代碼也會公開發布供研究交流。這本是為安全技術發展做出的貢獻,但同時也為黑客提供了便利。黑客不花一分錢就獲得了攻擊蘋果系統的“大殺器”,對那些沒升級的用户發起攻擊。
還記得去年8月蘋果緊急發佈iOS9.3.5版本嗎?版本升級只有一個原因:“提供了重要的安全性更新,推薦所有用户安裝”。這次系統更新源於名叫“三叉戟”的系列0Day漏洞,果粉們只要訪問一個惡意網站, 手機就可能被黑客遠程越獄,獲取最高權限,對手機進行操作、控制,可以查看攝像頭、竊聽你的談話和錄音,查看你的應用信息。要拿到你手機裏的照片,就像探囊取物一樣容易!這是蘋果歷史上第一次公開披露針對iOS的APT 0day攻擊,並且在短時間內就火線修復了漏洞,並且強烈建議所有用户安裝更新。但到現在為止,還有超過1/6的蘋果設備還停留在比9.3.5更老的版本呢!可想而知,這些用户的隱私沒準早就在網上裸奔了。
即使是最近的iOS 10.3.2,也一樣含有高危漏洞。而且漏洞利用方法的研究性源碼已經公開到著名開源託管網站github上。如果用户不及時升級到最新的iOS 10.3.3版本,也面臨着嚴峻的安全威脅。
百度安全專家:儘快升級到最新版本
因為沒有采用熱修復技術(不用系統升級就能修復漏洞的技術稱為“熱修復”),所以蘋果用户只能通過升級到最新版本,才能避免被惡意攻擊。
百度安全統計發現,目前國內升級到 iOS 10.3.3的用户主要來自10.3.2這個版本,這部分用户升級習慣較好,會在接到新版本通知時及時升級系統。升級系統的設備中,近80%在發佈後新版本的三週之內選擇了升級,隨後整個升級趨勢放緩。其他各殘留舊版本均有少量用户選擇升級,但大多數用户仍然選擇停留在舊版系統。
值得注意的是,iOS系統升級需要蘋果服務端驗證,服務端只允許iOS系統升級至當前的最新版,這種升級策略在一定程度上可以避免用户在部分中間版本有滯留,緩解安全生態碎片化的問題。然而,實際的統計結果顯示,iOS安全生態碎片化問題依然存在,用户選擇不升級的帶來的安全隱患不容忽視。
北京時間9月13日,蘋果將發佈iOS11,在提供新功能同時,還會修復大量安全漏洞。百度安全建議廣大用户在條件允許的情況下及時升級到最新版本,避免受到高危漏洞影響。“同時我們也呼籲手機廠商採用更有效的技術保護普通用户,防止他們受到已知高危漏洞的威脅。”