细思极恐 绝大多数软件有现成后门:系统更新
|【博闻社】美国科技网络媒体ARS在继续挖掘苹果的信息安全保卫战背后的内容。
上周苹果拒绝要求它帮助FBI开发后门固件的法庭命令——iOS系统的更新可以在不要求输入密码的条件下自动完成,FBI因此想要苹果开发出能绕过安全保护机制的特别固件,降低暴力破解的难度。
ars认为,这件事指出了一个事实:系统更新是绝大多数软件现成的后门。
分析指出,很多软件都内置更新机制,而这个机制在许多年里甚至不包含对更新验证真伪,它是加密的一个单点故障,这个点被攻破了整个系统的安全防御就彻底瓦解了。
攻击者可以在客户端和更新服务器之间发动中间人攻击。ars认为,苹果说FBI强迫它在从产品中创造后门——实际上它的真实含义是FBI强迫它使用后门。