出品 | 虎嗅科技組

作者 | 梁卡爾

編輯 | 苗正卿

頭圖 | 視覺中國

蘋果這次罕見高調(diào)提醒用戶更新iOS。

4月15日，蘋果公司通過服務(wù)號(hào)“Apple”發(fā)布了《更新iOS以保護(hù)你的iPhone免受網(wǎng)頁攻擊》，措辭十分直接：“如果你使用的是較舊版本的iOS，一旦點(diǎn)開惡意鏈接或訪問被入侵的網(wǎng)站，iPhone上的數(shù)據(jù)就可能被盜”。

蘋果格外強(qiáng)調(diào)，這次攻擊針對(duì)的是“過時(shí)版本的iOS”，并建議用戶盡快升級(jí)到最新版本，或啟動(dòng)鎖定模式。

同一天，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（以下簡稱“NVDB平臺(tái)”）也發(fā)布信息稱，蘋果公司已緊急提醒iPhone用戶立即更新，以防范網(wǎng)頁攻擊，并建議用戶升級(jí)系統(tǒng)、安裝關(guān)鍵性安全更新，無法更新的設(shè)備可啟用鎖定模式。

時(shí)間向前看幾天就會(huì)發(fā)現(xiàn)，這次提醒并非只是一次普通補(bǔ)丁通知。4月3日，NVDB平臺(tái)就曾發(fā)布風(fēng)險(xiǎn)提示稱，監(jiān)測(cè)發(fā)現(xiàn)有攻擊者利用針對(duì)終端漏洞利用工具實(shí)施網(wǎng)絡(luò)攻擊活動(dòng)，影響范圍包括運(yùn)行iOS 13.0至17.2.1的iPhone、iPad等蘋果設(shè)備。

攻擊方式并不復(fù)雜，通過短信、郵件或網(wǎng)頁投毒等方式，誘導(dǎo)用戶使用Safari瀏覽器訪問惡意代碼的網(wǎng)頁，再植入遠(yuǎn)程控制木馬、竊取敏感信息，甚至獲取設(shè)備最高權(quán)限。

截至發(fā)稿時(shí)，蘋果公司并未明確此次更新是針對(duì)NVDB平臺(tái)的風(fēng)險(xiǎn)提示。但把上述公開信息放在一起看，就可以形成一條完整的線索，平臺(tái)預(yù)警，廠商修復(fù)，平臺(tái)再擴(kuò)散提醒。

比漏洞本身更反常的，是幾乎沒人愿意把這件事講清楚。

圍繞這次蘋果漏洞事件，虎嗅咨詢了多家頭部安全公司和研究機(jī)構(gòu)，結(jié)果很一致，都沒有給出更進(jìn)一步的解釋。有人拒絕回應(yīng)，有人只愿意給出極為模糊的表述，有人選擇發(fā)報(bào)告，而不愿意正面回答這次風(fēng)險(xiǎn)到底意味著什么：影響面有多大，舊設(shè)備用戶該如何判斷風(fēng)險(xiǎn)，為什么風(fēng)險(xiǎn)會(huì)集中落在舊版iOS上，普通用戶除了“趕緊更新”之外還有沒有更現(xiàn)實(shí)的選擇。

進(jìn)一步追問就是，為什么在一場已經(jīng)公開預(yù)警的安全事件中，最懂的人反而不說話了？

原因沒那么簡單。現(xiàn)在的漏洞披露，早就不是研究員發(fā)現(xiàn)了就能出來講兩句的事。誰先報(bào)、什么時(shí)候能說、能說到哪一步，很多時(shí)候都卡在流程里。

越接近處置鏈條的人，反而越難開口。因?yàn)橐坏可娴铰┒瓷蠄?bào)、廠商修復(fù)和平臺(tái)協(xié)同，公開發(fā)言的風(fēng)險(xiǎn)往往比收益大得多。

結(jié)果就是，真正知道細(xì)節(jié)的人不說，愿意說的人又只敢說最穩(wěn)妥的話——“請(qǐng)立即更新系統(tǒng)”。

這話沒錯(cuò)，但對(duì)很多用戶來說，基本等于沒解釋。

對(duì)于一臺(tái)還能順暢運(yùn)行最新系統(tǒng)的iPhone來說，“立即更新”只是一個(gè)動(dòng)作；但對(duì)于大量停留在舊版本系統(tǒng)上的老設(shè)備用戶來說，只能從忍受硬件不匹配下的糟糕體驗(yàn)和花一大筆預(yù)算購買一臺(tái)新設(shè)備中作出選擇。

蘋果在公告里已經(jīng)說得很明白，這次風(fēng)險(xiǎn)主要針對(duì)的是“過時(shí)版本的iOS”。NVDB平臺(tái)披露的影響范圍更為具體，覆蓋iOS 13.0至17.2.1。換句話說，真正暴露在風(fēng)險(xiǎn)里的，很可能正是那批沒有及時(shí)更新、也未必愿意更新的舊設(shè)備用戶。

對(duì)不少老iPhone用戶來說，系統(tǒng)升級(jí)從來不只是面對(duì)“要不要更安全”的問題，還有“會(huì)不會(huì)更卡、更耗電、更影響日常體驗(yàn)”的問題。甚至在早期區(qū)分運(yùn)營商不同版本更新固件時(shí)，升級(jí)錯(cuò)誤意味著用戶還要更換手機(jī)號(hào)碼才能使用，否則iPhone“秒變”iPod。

蘋果的長期系統(tǒng)支持一直是賣點(diǎn)，但落到老設(shè)備上，用戶感受到的常常是另一面，系統(tǒng)還能升級(jí)，體驗(yàn)卻未必跟得上。

以前用戶糾結(jié)的是卡不卡、電量是不是下得快，現(xiàn)在連安不安全都要一起算了。

蘋果這次之所以反常，不在于它修了漏洞，而在于它罕見地把風(fēng)險(xiǎn)說得足夠直白：惡意網(wǎng)頁、數(shù)據(jù)被盜、舊版iOS、鎖定模式。這些詞疊在一起，已經(jīng)說明問題不再停留于“理論上存在漏洞”，而是進(jìn)入了需要公開提醒用戶立即行動(dòng)的階段。

偏偏在這個(gè)時(shí)候，安全圈幾乎沒人愿意把這件事講明白。

對(duì)用戶來說，知道要更新，卻不知道這次風(fēng)險(xiǎn)為什么主要落在舊版iOS；知道風(fēng)險(xiǎn)和網(wǎng)頁攻擊有關(guān)，卻不知道自己是否屬于高暴露人群；知道無法更新可以啟用鎖定模式，卻不知道這意味著設(shè)備實(shí)際上已經(jīng)接近安全風(fēng)險(xiǎn)邊界。

這幾年安全行業(yè)的變化很明顯，處置流程越來越完整，面對(duì)公眾時(shí)就越來越惜字如金。

這不只是某家公司不愿意說，而是整個(gè)行業(yè)的角色都變了。更準(zhǔn)確地說，這是安全行業(yè)角色變化的結(jié)果。安全公司越成為廠商和監(jiān)管體系中的協(xié)同節(jié)點(diǎn)，它就越難同時(shí)扮演一個(gè)面向公眾的解釋者。說多了有風(fēng)險(xiǎn)，說少了最安全，沉默反而成了最穩(wěn)妥。

但問題是，行業(yè)選擇沉默的成本，最后并不是行業(yè)自己承擔(dān)，而是普通用戶承擔(dān)。

尤其是那些仍在使用舊設(shè)備、舊系統(tǒng)的人。他們收到的只是一個(gè)結(jié)果導(dǎo)向的通知：更新升級(jí)、打開鎖定模式，或者前往門店尋求幫助。

他們很難知道，自己究竟是在面對(duì)一個(gè)普通漏洞，還是一個(gè)已經(jīng)進(jìn)入現(xiàn)實(shí)攻擊鏈條的高危風(fēng)險(xiǎn)，也很難知道，繼續(xù)停留在舊系統(tǒng)上的代價(jià)，或許已經(jīng)從體驗(yàn)下降變?yōu)槭グ踩雷o(hù)。

這套處置當(dāng)然不能算錯(cuò)，但它也談不上是成熟行業(yè)該有的溝通方式。

一場影響這么多用戶的安全漏洞事件，公眾不該只收到一句“請(qǐng)盡快更新”。他們還需要知道：風(fēng)險(xiǎn)到底有多大，誰最容易中招，繼續(xù)拖著不升級(jí)要付出什么代價(jià)。

如果這些問題永遠(yuǎn)只能停留在“敏感”“不便回應(yīng)”“以官方公告為準(zhǔn)”，那安全行業(yè)再專業(yè)，也很難真正建立起公眾信任。

因?yàn)楸Ｕ习踩珡膩聿恢皇切扪a(bǔ)漏洞，也包括把風(fēng)險(xiǎn)說明白。

難怪有的手機(jī)行業(yè)分析師會(huì)說這對(duì)蘋果來說可能不是壞事。他們可能未必會(huì)因此調(diào)高蘋果接下來的出貨量預(yù)期，但他們相信有的用戶要買新手機(jī)了。

本文來自虎嗅，原文鏈接：https://www.huxiu.com/article/4851747.html?f=wyxwapp