甫於蘋果公司一年一度大拜拜 2016 年全球開發者大會 WWDC 上現身的 iOS 10 預覽版,日前被發現作業系統核心並沒有經過加密。日前蘋果確認了這一點,並說明公司之所以未對 iOS 10 系統核心進行加密是刻意如此處理。
蘋果發言人說明系統核心的緩衝記憶中並沒有任何使用者的資料,所以即便不加密,也不會影響資訊安全。但不加密卻可以方便蘋果來進行操作系統性能的最佳化處理程序。
在 iOS 10 之前,系統核心部份都有所加密,所以開發者都無法一窺堂奧,搞清楚若干神祕的細節。當然, iOS 系統核心部份絕對需要訴求安全,但不予加密並不代表安全性受到嚴重影響。而且反過來說,這也代表開發者可以接觸到核心內碼,此外相關的錯誤與資安漏洞也可以更迅速被曝光與獲得修復解決。
只不過令人費疑猜的,是解除系統核心加密對於蘋果來說實在是很不尋常,無怪乎先前還有人猜測 iOS 10 沒有為內部核心加密是個意外。但這樣的意外也實在是太嚴重了,反而令人擔心蘋果的內控是否有嚴重的疏失。也難怪 iOS 資安專家 Jonathan Zdziarski 也舉例說蘋果若是忘記將系統核心加密,這好比像是忘了為電梯裝上門一樣令人無法置信。
所以與其相信蘋果犯了嚴重的疏失,還不如相信蘋果或許改變策略,推出前所未見的大膽方式,以未加密的系統核心來鼓勵開發者與資安人員來發現 iOS 10 中的錯誤與漏洞,以便進行修復。當然,喜歡越獄的使用者更可以期待相關的開發者會更快速與方便的找到 iOS 10 進行越獄的相關資訊,以便推出應對之道,敲開使用者自由自在的自我設定大門。
|