北京
出品 | 虎嗅科技組
作者 | 梁卡爾
編輯 | 苗正卿
頭圖 | 視覺中國
蘋果這次罕見高調提醒用戶更新iOS。
4月15日,蘋果公司通過服務號“Apple”發布了《更新iOS以保護你的iPhone免受網頁攻擊》,措辭十分直接:“如果你使用的是較舊版本的iOS,一旦點開惡意鏈接或訪問被入侵的網站,iPhone上的數據就可能被盜”。
蘋果格外強調,這次攻擊針對的是“過時版本的iOS”,并建議用戶盡快升級到最新版本,或啟動鎖定模式。
同一天,工業和信息化部網絡安全威脅和漏洞信息共享平臺(以下簡稱“NVDB平臺”)也發布信息稱,蘋果公司已緊急提醒iPhone用戶立即更新,以防范網頁攻擊,并建議用戶升級系統、安裝關鍵性安全更新,無法更新的設備可啟用鎖定模式。
時間向前看幾天就會發現,這次提醒并非只是一次普通補丁通知。4月3日,NVDB平臺就曾發布風險提示稱,監測發現有攻擊者利用針對終端漏洞利用工具實施網絡攻擊活動,影響范圍包括運行iOS 13.0至17.2.1的iPhone、iPad等蘋果設備。
攻擊方式并不復雜,通過短信、郵件或網頁投毒等方式,誘導用戶使用Safari瀏覽器訪問惡意代碼的網頁,再植入遠程控制木馬、竊取敏感信息,甚至獲取設備最高權限。
截至發稿時,蘋果公司并未明確此次更新是針對NVDB平臺的風險提示。但把上述公開信息放在一起看,就可以形成一條完整的線索,平臺預警,廠商修復,平臺再擴散提醒。
比漏洞本身更反常的,是幾乎沒人愿意把這件事講清楚。
圍繞這次蘋果漏洞事件,虎嗅咨詢了多家頭部安全公司和研究機構,結果很一致,都沒有給出更進一步的解釋。有人拒絕回應,有人只愿意給出極為模糊的表述,有人選擇發報告,而不愿意正面回答這次風險到底意味著什么:影響面有多大,舊設備用戶該如何判斷風險,為什么風險會集中落在舊版iOS上,普通用戶除了“趕緊更新”之外還有沒有更現實的選擇。
進一步追問就是,為什么在一場已經公開預警的安全事件中,最懂的人反而不說話了?
原因沒那么簡單。現在的漏洞披露,早就不是研究員發現了就能出來講兩句的事。誰先報、什么時候能說、能說到哪一步,很多時候都卡在流程里。
越接近處置鏈條的人,反而越難開口。因為一旦牽涉到漏洞上報、廠商修復和平臺協同,公開發言的風險往往比收益大得多。
結果就是,真正知道細節的人不說,愿意說的人又只敢說最穩妥的話——“請立即更新系統”。
這話沒錯,但對很多用戶來說,基本等于沒解釋。
對于一臺還能順暢運行最新系統的iPhone來說,“立即更新”只是一個動作;但對于大量停留在舊版本系統上的老設備用戶來說,只能從忍受硬件不匹配下的糟糕體驗和花一大筆預算購買一臺新設備中作出選擇。
蘋果在公告里已經說得很明白,這次風險主要針對的是“過時版本的iOS”。NVDB平臺披露的影響范圍更為具體,覆蓋iOS 13.0至17.2.1。換句話說,真正暴露在風險里的,很可能正是那批沒有及時更新、也未必愿意更新的舊設備用戶。
對不少老iPhone用戶來說,系統升級從來不只是面對“要不要更安全”的問題,還有“會不會更卡、更耗電、更影響日常體驗”的問題。甚至在早期區分運營商不同版本更新固件時,升級錯誤意味著用戶還要更換手機號碼才能使用,否則iPhone“秒變”iPod。
蘋果的長期系統支持一直是賣點,但落到老設備上,用戶感受到的常常是另一面,系統還能升級,體驗卻未必跟得上。
以前用戶糾結的是卡不卡、電量是不是下得快,現在連安不安全都要一起算了。
蘋果這次之所以反常,不在于它修了漏洞,而在于它罕見地把風險說得足夠直白:惡意網頁、數據被盜、舊版iOS、鎖定模式。這些詞疊在一起,已經說明問題不再停留于“理論上存在漏洞”,而是進入了需要公開提醒用戶立即行動的階段。
偏偏在這個時候,安全圈幾乎沒人愿意把這件事講明白。
對用戶來說,知道要更新,卻不知道這次風險為什么主要落在舊版iOS;知道風險和網頁攻擊有關,卻不知道自己是否屬于高暴露人群;知道無法更新可以啟用鎖定模式,卻不知道這意味著設備實際上已經接近安全風險邊界。
這幾年安全行業的變化很明顯,處置流程越來越完整,面對公眾時就越來越惜字如金。
這不只是某家公司不愿意說,而是整個行業的角色都變了。更準確地說,這是安全行業角色變化的結果。安全公司越成為廠商和監管體系中的協同節點,它就越難同時扮演一個面向公眾的解釋者。說多了有風險,說少了最安全,沉默反而成了最穩妥。
但問題是,行業選擇沉默的成本,最后并不是行業自己承擔,而是普通用戶承擔。
尤其是那些仍在使用舊設備、舊系統的人。他們收到的只是一個結果導向的通知:更新升級、打開鎖定模式,或者前往門店尋求幫助。
他們很難知道,自己究竟是在面對一個普通漏洞,還是一個已經進入現實攻擊鏈條的高危風險,也很難知道,繼續停留在舊系統上的代價,或許已經從體驗下降變為失去安全防護。
這套處置當然不能算錯,但它也談不上是成熟行業該有的溝通方式。
一場影響這么多用戶的安全漏洞事件,公眾不該只收到一句“請盡快更新”。他們還需要知道:風險到底有多大,誰最容易中招,繼續拖著不升級要付出什么代價。
如果這些問題永遠只能停留在“敏感”“不便回應”“以官方公告為準”,那安全行業再專業,也很難真正建立起公眾信任。
因為保障安全從來不只是修補漏洞,也包括把風險說明白。
難怪有的手機行業分析師會說這對蘋果來說可能不是壞事。他們可能未必會因此調高蘋果接下來的出貨量預期,但他們相信有的用戶要買新手機了。
本文來自虎嗅,原文鏈接:https://www.huxiu.com/article/4851747.html?f=wyxwapp
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
