似乎每隔几个月苹果就会卷入一次安全方面的丑闻。之前的Heartbleed漏洞可以被人利用,用于用户数据的收集。去年年末,研究人员展示了一个经由iOS设备的充电接口获取数据的方法。而在一年前,研究员公布了一个可以访问开发者Apple ID的方法,在此之后,这个研究员表示并没有从苹果那里得到任何反馈。还有这周刚刚发生的明星照片泄露的事件,这次事件导致公众不再相信iCloud的安全性。
在每次这类事件发生后,苹果都修复了这些漏洞。但是几乎所有这类事件,苹果都不向大家解释这些安全问题的细节。这就导致了公众对这家公司的误解。如果不做出改变,误解还会继续发生下去。
苹果有责任和义务告诉公众公司很关心用户的隐私安全问题,苹果曾拒绝向iPad的杂志出版商透露订阅者的信息,以此来保护用户信息。苹果的员工也不向外透露苹果如何处理用户隐私的信息。
虽然苹果在很多方面都表现出了为用户着想的地方,但是在安全方面苹果似乎并没有做到和其产品用心程度同样的水准。苹果会为了一个按键倒角的度数问题而不断修改,但是却在安全方面一次又一次犯错误。
如何改善
我完全可以理解为什么苹果在安全漏洞出现之后才解决问题,发现的问题永远比你解决的问题多,不过苹果可以让独立的安全研究员加入进来,改善产品与服务。很多安全研究员都希望可以把漏洞报告给苹果,并让其修复,只不过由于苹果公司在这方面透明度不高,又很少于外界沟通,导致安全研究员对此表示失望。苹果可以开放一个与安全工程师和安全专家交流的平台。现阶段,安全研究人员只能通过在论坛上报告问题。
现在对苹果比较实际有用的方式就是让大家都可以参与进来并建立一个漏洞奖励计划,当找到并反馈给苹果一个漏洞后,反馈者将会获得一定数额的奖金。很多与苹果同类型的公司都在这么做。
目前,苹果已经认可了那些曾发现越狱漏洞的iPhone越狱团队的成员。这个做法肯定可以刺激那些研究人员,从而可以找出一个更加开放、高效的交流方式。不光要在外部进行安全方面的提高,苹果还应该提高自身。
Why?
还有很多证据表明苹果公司在一开始并没有在意那些来自于安全社区的漏洞警告。我们应该期待苹果可以做的更加好,因为这是一个其设备被数以亿计的用户使用的公司应该做的。为什么一家这么擅长经营之道,产品又这么深受大家喜爱的公司,在安全方面做的却是这么差呢?
我已经有了自己的答案,当然这只是个人观点。那就是苹果把其在产品上的想法直接套用在了安全方面。换句话说就是,只跟自己玩。这样的想法在消费品市场能有好的表现,我并不介意产品有一些神秘感,即使是以一个记者的身份并时刻都在关注苹果的动态的人。
不过在安全方面,这样的方式是不可取的,毕竟现在智能手机上面存储了越来越多的个人隐私信息。安全将是未来设备越来越着重强调的特色。作为一个行业领导者,苹果应该重新评估它们处理安全问题的方式,变得更加开放和坦诚。
