苹果的安全到底怎么了？苹果的安全性究竟是什么？

无论你怎么仔细审查，软件都避免不了漏洞的存在。于是，问题不在于如何写出完美代码，而是在发现错误时如何响应。苹果一贯以安全健壮闻名，但macOS和iOS的一系列重大漏洞，扯破了苹果的安全网，令安全研究员和开发者纷纷质疑这些问题是否系统性的。

就拿9月底发布的苹果macOS High Sierra操作系统来说。仅仅10天，苹果公司就不得不修复2个关键漏洞：某第三方App可被用于从密钥链中盗取凭证;加密苹果文件系统卷的口令提示，会以明文形式暴露口令。接着，11月底，安全研究人员公开宣称，只需输入“root”，任何人都可获得 High Sierra 的root权限。

该漏洞实在太辣眼睛，苹果在1天之内就推出了补丁，对如此庞大的公司而言，这速度堪称惊人。

“root”漏洞事件曝光之后，苹果十分罕见地给科技媒体《连线》发出了一份声明，称：

安全，一直是每款苹果产品的第一要务，很遗憾我们在这次macOS发布中失误了。我们对此失误深表遗憾，并为该带漏洞的发布和所引发的担忧，向所有Mac用户致歉。我们的客户值得拥有更好的产品。我们正在审计开发过程，以防止此类事件再次发生。

然而，该修复补丁自身也含有严重漏洞——鉴于该公司测试补丁的时间如此之短，有漏洞毫不意外。且该疏漏不是个案，而是类似的一系列软件缺陷之一，不仅macOS，苹果所有平台都陆续曝出缺陷。

基本上，整个2017年，苹果公司都忙于修复各种问题，包括 iOS 10 的数十个漏洞，还有5月份影响到该公司所有操作系统和服务的一次震荡性更新——一口气修复了66个不同漏洞。其中几个漏洞可致远程代码执行;黑客无需物理接触到设备就可入侵。

9月份 iOS 11 推出不久，iPhone就开始将字母“i”自动更正为“A”。虽然不是安全问题，但该问题是如此明显，让苹果的广大用户非常生气。就在上周，苹果发布了用于修复远程HomeKit漏洞的 iOS 11 补丁。该漏洞并不容易利用，但可致重要智能家居设备被入侵，比如门锁。

从各方面看，苹果产品依然比其竞争对手更安全。但安全研究人员认为，漏洞的增多可能预示着更深刻的问题。

专注苹果产品的 Duo Security 公司研发工程师佩平·布伦内认为，苹果想让其所有平台——iOS、macOS、watchOS和tvOS，都进入同样的公关、产品管理和营销友好的年度发布周期，是得不偿失的做法。虽然苹果所有产品的整体平台安全前景是业内最佳，但那速度，却是以软件开发过程中的质量保障为代价的。

数名研究人员直指该质量保障测试过程，推断其要么缺乏足够的人力，要么缺乏清晰的指令来保障彻底深入的评估。苹果自己说“正在审计开发过程”，暗指这是个审查和测试的问题，但这同样的话，也可以用来搪塞研究人员稍后提出的另一个担忧之处：苹果每12个月就要发布彻底翻修软件的巨大压力。

苹果之前就出现过安全问题，但也无可厚非，因为不管是任何系统或软件或迟或早都会出现问题。真正不寻常的，是过去一个多月时间里出现的漏洞数量。这很明显不能以巧合解释之。这么多漏洞都出现在 High Sierra 和 iOS 11 中，令人不由得怀疑，是不是有什么原因让他们急于发布，即便没有真正准备好供大众消费也要尽快推出。

一些长期果粉很是怀念2009年的苹果 OS X 10.6 雪豹操作系统，那是在上一年华丽而功能丰富的猎豹版基础上，进行的审慎迭代。雪豹是如此优秀而稳定的一个版本，因为苹果真的花费了大量时间修复漏洞。现在这种时候，他们真的应该重回之前的做法，因为最近的每次发布都太偏重新功能了。也许苹果需要放缓新功能开发的脚步，下一次发布将精力集中在解决问题上。

这些明显的漏洞，可能会为苹果的整体安全带来级联效应。苹果设备保持相对安全的一个原因，是iPhone和Mac用户通常及时安装更新，而安卓设备则往往有延迟。但错误太多太频繁，会让人们害怕马上采用更新，更倾向于等待市场上出现已去除了问题的新软件。

我早就没在用苹果的最新软件了。我总是落后几个版本，这么做没问题。我希望苹果总部能感受到这种警示，因为他们似乎在用户体验和软件品质上出现问题了。

尽管当前形势让专注苹果的研究人员和管理员比较棘手，但该公司的安全态势和生产线，倒还是比其他大多数科技公司要健壮一些。苹果最近的问题也引起了更多的关注，部分原因在于研究人员是公开揭露漏洞，而不是私密报告给苹果等等修复。土耳其软件开发人员乐米·敖汉·阿勒锦，“root”漏洞发现者之一，是在推特上通知的苹果公司。

通常，大多数安全更新会解决一些令人担忧的问题，但如今，人们在修复出来之前就公开漏洞，引发了更多的恐慌。并不是漏洞更多了，只是人们从不关注已解决的问题，只着眼当前问题而已。可以说，这里面还有点堆积效应，因为人们会记住root漏洞，然后将之与新漏洞联系起来。

即便原因更多在于漏洞引起了主流关注，但结果依然是对更新的踌躇不决，而这有可能伤及苹果的整体安全。Mac管理员大多在采纳更新上有点迟缓，或许能算一种幸运吧。但这发出的其实是错误的信号，因为更新对于安全极其重要。苹果响应这些事件很快，这值得赞赏，但更大的关注点应放在系统本身的整体稳定性上，而不是不得不响应这些漏洞。

如果下一个苹果发布周期不含有那么多基础性错误，High Sierra 和 iOS 11 的问题，就会作为可以理解的暂时性问题渐渐消退。但目前，它们更像是一种模式，源源不断。