安全专家：美国是流氓，但普通人用苹果手机，是比较傻瓜化的提升安全的方式_风闻

来源：@sunwear

有人说苹果安全，也有人说苹果照样有漏洞。说的也确实没错，苹果并不是无敌的。不过我曾经也多次表示过，我个人觉得苹果的可靠性安全性隐私保障要高于安卓。时代在变化，攻防对抗的技术和成本也在变化。首先声明这篇是基于我曾经多条微博的综合总结，以网络安全技术人员的角度的一些观点。本人是实打实的爱国且付出非常非常多的从业者。

苹果在2016年曾经出过一个非常知名且致命的漏洞利用事件“三叉戟”。中东某大户针对一个个人实施的攻击行为，一条信息即可远程控制一台苹果手机系统，一共利用了三个漏洞，CVE-2016-4655  内核信息泄露 ，CVE-2016-4656 提权 ，CVE-2016-4657  webkit远程代码执行。这三个漏洞可以说价值百万美元，当然对中东土豪来说还不够王子们洒洒水。这漏洞属于apt级的，放到现在也是。

前不久卡巴斯基报告的三角测量行动，同样在ios下从imessage开始利用四个漏洞，完成的一条攻击链，都是未公开漏洞。完全控制苹果手机系统。零点击漏洞，发一条imessage无需交互神不知鬼不觉。这个过程中利用的一个硬件功能特性，可以完全绕过内存保护机制，对物理内存进行读写操作等控制。卡巴斯基认为应该是苹果用于工程调试的，也有说后门。

我们绝大部分普通人大概率不会遇到这种攻击，你不值。在2016年那年安卓本地提权漏洞数量是苹果系统的十倍还多。上面提到的漏洞价值都在百万美元级，举例像zerodium收这种苹果安卓的零点击rce漏洞都要150万美元起步，最高250万美元。实际还有出价更高的。

说到这个，前不久加拿大多伦多Pwn2Own 黑客大赛， iphone14和google pixel 7 没有任何团队攻破。其他三星等安卓机就被咣咣破解攻破。一共几天时间发了103.85万美元，58个漏洞。虽然苹果在这个黑客大赛上没有被攻破，但并不代表没人能搞。可能是103万美元在漏洞市场上大概是吸引不到攻破苹果的漏洞，也可能是ios漏洞在某些国家队或nb团队手里根本不会拿出来而已。这个不像参加奥运会体育运动似的，价值是实际用出来的，不是去比赛的（对一部分人来说）。

另外像某国产app在安卓下利用动态下发来执行的骚操作，在苹果系统中是不允许的，动态加载的api不让用，它还敢利用漏洞执行提权程序拿到用户手机最高权限控制用户手机。绝了，当然不止一个app这么干也不是针对它。如果是苹果商店，应用审核这一块它过不去，很严格。一旦有问题他就给你下架了。而安卓平台的话这个app在google商店就老实多了，没有这些，它深知不能给洋大人上手段。所以从这点上苹果又有一定优势，这些行为在苹果上就不能实施。（也不是说google商店就绝对安全，曾经有银行木马还被审核上架了。发现恶意代码的程序也有很多。）

再说苹果在某些方面的升级和措施用户感觉不出来，但做技术的能发现。例如大概是ios7时代，利用wifi围栏是可以识别周边手机mac地址的，结果苹果对mac地址进行了保护，在未连接时是看不到真实mac地址的。至于各种加密技术的完善升级根本说不完。

再说一个诈骗，很多诈骗是骗你安装软件，安卓的apk安装很容易。那种要你安装app的基本都是安卓场景，装好了一顿获取权限，苹果你懂得，基本从根源上装不上对方准备的恶意程序。

苹果的锁屏密码也是难以突破的存在，虽然在历史上有过一些诸如ipbox、checkmeta等破解方法，但目前最新版本可以说无解（不代表没有或以后没有）。iphone5那年代fbi还跟苹果因为解锁闹过一次，最后fbi是靠破解而非苹果协助解开的。

安卓下面由于不同品牌不同系统不同版本不可一概而论。我没办法评价。不是说不安全。但至少花样百出，除了漏洞还有官方破解法开发工程板。

所以对普通人来说，普通人来说，普通人来说用苹果手机是比较傻瓜化的提升安全的方式，给老人准备好一台iphone，装好app退出appstore我就可以放心了。不需要你懂技术，动脑子。把被黑的门槛提高了。但还是那句话，我上面是给普通人说的。如果你贼啦重要，有很高价值，摩萨德，中情局，fbi啥的全都想找你，你还是干脆别用手机了。上面提到的两次都是以政府国家层面的攻击为背景。

另外有些人可能确实还不知道安卓是google的，你很多国产手机用的也是“美国系统” 。美国是流氓，监控黑客手段又多又猛，没有否认的意思。