提问:苹果公司发布了一份详细的技术文档,第一次揭露了iOS和App Store内置的一些安全技术信息。对这份文档,你怎么看?文档中是否表明苹果设备对企业BYOD政策构成不小的威胁,或者说,iPhone和iPad的制造商在解决iOS安全问题的道路上仍有很长的路要走?
iOS安全性指南是苹果公司第一次真正地公开解释iOS背后的安全架构。对于那些不熟悉苹果产品的人来说,iOS是运行iPhone、iPad和iPod的操作系统。该文档涵盖了iOS系统架构、加密、数据和网络安全,以及设备接入等方面的信息。虽然很多这些信息从未正式曝光过,但安全专家早已经解密了文档中提到的大部分功能。然而,地址空间布局随机化(ASLR)的部署对于很多人来说仍然很新鲜,而苹果对iOS应用的代码签名过程是如何运作的详细说明解释了这个有点神秘的过程。
ASLR主要用于防止攻击者利用内存损坏漏洞,自Windows Vista推出以来,微软就一直鼓吹ASLR。我们很高兴地知道,iOS开发环境Xcode会对开启ASLR支持的第三方程序进行自动编译。这个代码签名过程要求所有可执行代码使用苹果授权的证书进行签名,这使苹果能够控制哪些应用允许在iOS设备运行,并且,这在苹果安全架构中起着核心作用。苹果会审查App Store中的所有第三方应用,以确保他们能够按其描述的进行操作,且不包含明显的漏洞或者其他问题。苹果能够知道可识别的个人或者企业提交了应用,因为在审核过程中应用进行了签名。
与Android环境的安全问题相比,iOS可谓小巫见大巫,在Android环境,恶意代码已经成为很严重的问题。但iOS的缺点在于,碍于沙箱、API限制和其他苹果开发人员政策,我们很难创建安全配置监控应用来捕捉iOS系统的状态。Android操作系统的开放性意味着应用可以很容易地访问Android设备的安全状态。而iOS设备只能通过网络来从外部监控设备正在做什么,正在与谁通信以及正在传输哪些数据。
iOS安全性指南的第一句话就指出,苹果在设计iOS平台时,将安全作为其核心,因此,在安全性方面,iOS肯定比很多其他移动操作系统更胜一筹。该指南将帮助安全团队更好地了解苹果移动设备的内部构造,从而进行更详细的风险评估。任何移动设备都存在风险,而我认为是用户制造了大部分风险,而不是设备本身。美国国家安全局(NSA)对苹果iOS的安全配置建议可以用于加强连接到企业网络的设备的安全性,但同样重要的是,请确保用户知道如何安全地使用移动设备。
