9月11日電 北京時間9月13日凌晨,萬眾期盼、全球矚目的蘋果年度釋出會將在新落成的喬布斯劇場舉行,全世界的果粉們都在期待著iphone8的真容。
如果在這個時候告訴你,將近一半的iOS裝置是不安全的,你會感到擔憂嗎?
百度安全實驗室的一組研究資料顯示:iOS最新版本釋出已經50多天,國內的上億臺蘋果iOS裝置中,只有54%的裝置升級到了最新版的10.3.3系統,其餘的近半裝置還停留在舊版本,這些使用者正面臨著高危漏洞的威脅,一不小心就可能成為下一個“豔照門”的主角。
蘋果iOS迎來碎片化 舊版裝置分散在44個版本中
跟安卓相比,iOS系統向來升級快、安全性高,因此深入果粉們的心。不過,最近百度安全卻發現,事實上國內只有54%的使用者升級到了最新的iOS 10.3.3系統,剩餘的近半數國內iOS裝置依然停留在受高危漏洞影響的舊版系統。即使最新的iPhone7系列機型,也有近32%的裝置沒有及時升級。
iOS系統的舊版本也呈現出了碎片化的趨勢。沒有升級的裝置分散在44個iOS舊版本中。其中舊版iOS10的系統有11個,停留在這些版本的使用者佔27.3%。另外,還有超過18%的使用者停留在iOS 10之前的版本。其中,釋出已經兩年的iOS 9 佔比11.9%,釋出已經三年的iOS 8 佔比 6% 。
圖1. 國內iOS裝置系統版本分佈(詳細的系統版本比例分佈圖,從左半部分開始,逆時針方向按新舊版本次序依次為最新的iOS 10.3.3到4年前的版本iOS 7。)
從機型分類的資料可以看出,機型越老,系統更新及時性越差。這並不難理解,因為舊版裝置的硬體效能相對比較差,升級到新版本的系統不但沒有提升體驗,反而可能更卡頓,更消耗記憶體和效能。所以很多iPhone5s、iPhone6的使用者都不願升級到最新版系統。所以每一次蘋果新品釋出,都意味著新版的iOS系統對硬體效能的要求進一步提升了。這不可避免的降低舊機型的使用者體驗,所以一部分舊版機型的使用者會選擇留在舊版iOS版本而不願升級。
圖2. 不同機型類別的系統版本分佈(5類裝置型號都存在一定比例的碎片化問題)
“過去的4年裡,蘋果iOS總共釋出了45個版本。”百度安全專家解釋稱:“每個小版本都有一些使用者停留,導致了系統版本的碎片化。只有一直保持升級到最新系統的使用者才可能最大限度地免受安全威脅。”
不升級=風險被放大N倍
每一次系統升級都不是無緣無故,要麼提升效能,要麼打安全補丁,要麼最佳化介面提升使用者體驗。這其中,安全性是最重要的更新。據統計,在過去的一年裡,蘋果陸續釋出了12個iOS版本,總共修復338個安全漏洞。
新的系統版本釋出之後,升級就意味著安全,不升級的風險卻呈現出了幾倍甚至幾十倍的放大。為什麼這麼說?百度安全專家解釋說,每次iOS系統釋出新版本後,新版本已修復的部分漏洞細節以及利用方法會被研究者公開。甚至一些漏洞利用的完整程式碼也會公開發布供研究交流。這本是為安全技術發展做出的貢獻,但同時也為駭客提供了便利。駭客不花一分錢就獲得了攻擊蘋果系統的“大殺器”,對那些沒升級的使用者發起攻擊。
還記得去年8月蘋果緊急釋出iOS9.3.5版本嗎?版本升級只有一個原因:“提供了重要的安全性更新,推薦所有使用者安裝”。這次系統更新源於名叫“三叉戟”的系列0Day漏洞,果粉們只要訪問一個惡意網站, 手機就可能被駭客遠端越獄,獲取最高許可權,對手機進行操作、控制,可以檢視攝像頭、竊聽你的談話和錄音,檢視你的應用資訊。要拿到你手機裡的照片,就像探囊取物一樣容易!這是蘋果歷史上第一次公開披露針對iOS的APT 0day攻擊,並且在短時間內就火線修復了漏洞,並且強烈建議所有使用者安裝更新。但到現在為止,還有超過1/6的蘋果裝置還停留在比9.3.5更老的版本呢!可想而知,這些使用者的隱私沒準早就在網上裸奔了。
即使是最近的iOS 10.3.2,也一樣含有高危漏洞。而且漏洞利用方法的研究性原始碼已經公開到著名開源託管網站github上。如果使用者不及時升級到最新的iOS 10.3.3版本,也面臨著嚴峻的安全威脅。
百度安全專家:儘快升級到最新版本
因為沒有采用熱修復技術(不用系統升級就能修復漏洞的技術稱為“熱修復”),所以蘋果使用者只能透過升級到最新版本,才能避免被惡意攻擊。
百度安全統計發現,目前國內升級到 iOS 10.3.3的使用者主要來自10.3.2這個版本,這部分使用者升級習慣較好,會在接到新版本通知時及時升級系統。升級系統的裝置中,近80%在釋出後新版本的三週之內選擇了升級,隨後整個升級趨勢放緩。其他各殘留舊版本均有少量使用者選擇升級,但大多數使用者仍然選擇停留在舊版系統。
值得注意的是,iOS系統升級需要蘋果服務端驗證,服務端只允許iOS系統升級至當前的最新版,這種升級策略在一定程度上可以避免使用者在部分中間版本有滯留,緩解安全生態碎片化的問題。然而,實際的統計結果顯示,iOS安全生態碎片化問題依然存在,使用者選擇不升級的帶來的安全隱患不容忽視。
北京時間9月13日,蘋果將釋出iOS11,在提供新功能同時,還會修復大量安全漏洞。百度安全建議廣大使用者在條件允許的情況下及時升級到最新版本,避免受到高危漏洞影響。“同時我們也呼籲手機廠商採用更有效的技術保護普通使用者,防止他們受到已知高危漏洞的威脅。”