當(dāng)前位置: 首頁(yè)最新資訊 手機(jī)數(shù)碼 → iOS安全性指南使蘋果iOS安全問題遭質(zhì)疑

iOS安全性指南使蘋果iOS安全問題遭質(zhì)疑

更多

iOS安全性指南是蘋果公司第一次真正地公開解釋iOS背后的安全架構(gòu)。對(duì)于那些不熟悉蘋果產(chǎn)品的人來說,iOS是運(yùn)行iPhone、iPad和iPod的操作系統(tǒng)。該文檔涵蓋了iOS系統(tǒng)架構(gòu)、加密、數(shù)據(jù)和網(wǎng)絡(luò)安全,以及設(shè)備接入等方面的信息。雖然很多這些信息從未正式曝光過,但安全專家早已經(jīng)解密了文檔中提到的大部分功能。然而,地址空間布局隨機(jī)化(ASLR)的部署對(duì)于很多人來說仍然很新鮮,而蘋果對(duì)iOS應(yīng)用的代碼簽名過程是如何運(yùn)作的詳細(xì)說明解釋了這個(gè)有點(diǎn)神秘的過程。

ASLR主要用于防止攻擊者利用內(nèi)存損壞漏洞,自Windows Vista推出以來,微軟就一直鼓吹A(chǔ)SLR。我們很高興地知道,iOS開發(fā)環(huán)境Xcode會(huì)對(duì)開啟ASLR支持的第三方程序進(jìn)行自動(dòng)編譯。這個(gè)代碼簽名過程要求所有可執(zhí)行代碼使用蘋果授權(quán)的證書進(jìn)行簽名,這使蘋果能夠控制哪些應(yīng)用允許在iOS設(shè)備運(yùn)行,并且,這在蘋果安全架構(gòu)中起著核心作用。蘋果會(huì)審查App Store中的所有第三方應(yīng)用,以確保他們能夠按其描述的進(jìn)行操作,且不包含明顯的漏洞或者其他問題。蘋果能夠知道可識(shí)別的個(gè)人或者企業(yè)提交了應(yīng)用,因?yàn)樵趯徍诉^程中應(yīng)用進(jìn)行了簽名。

與Android環(huán)境的安全問題相比,iOS可謂小巫見大巫,在Android環(huán)境,惡意代碼已經(jīng)成為很嚴(yán)重的問題。但iOS的缺點(diǎn)在于,礙于沙箱、API限制和其他蘋果開發(fā)人員政策,我們很難創(chuàng)建安全配置監(jiān)控應(yīng)用來捕捉iOS系統(tǒng)的狀態(tài)。Android操作系統(tǒng)的開放性意味著應(yīng)用可以很容易地訪問Android設(shè)備的安全狀態(tài)。而iOS設(shè)備只能通過網(wǎng)絡(luò)來從外部監(jiān)控設(shè)備正在做什么,正在與誰通信以及正在傳輸哪些數(shù)據(jù)。

iOS安全性指南的第一句話就指出,蘋果在設(shè)計(jì)iOS平臺(tái)時(shí),將安全作為其核心,因此,在安全性方面,iOS肯定比很多其他移動(dòng)操作系統(tǒng)更勝一籌。該指南將幫助安全團(tuán)隊(duì)更好地了解蘋果移動(dòng)設(shè)備的內(nèi)部構(gòu)造,從而進(jìn)行更詳細(xì)的風(fēng)險(xiǎn)評(píng)估。任何移動(dòng)設(shè)備都存在風(fēng)險(xiǎn),而我認(rèn)為是用戶制造了大部分風(fēng)險(xiǎn),而不是設(shè)備本身。美國(guó)國(guó)家安全局(NSA)對(duì)蘋果iOS的安全配置建議可以用于加強(qiáng)連接到企業(yè)網(wǎng)絡(luò)的設(shè)備的安全性,但同樣重要的是,請(qǐng)確保用戶知道如何安全地使用移動(dòng)設(shè)備。

熱門評(píng)論
最新評(píng)論
發(fā)表評(píng)論 查看所有評(píng)論(0)
昵稱:
表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
字?jǐn)?shù): 0/500 (您的評(píng)論需要經(jīng)過審核才能顯示)