曾经有一段时间 – 不久前 – 只有技术专家听说过像 飞马座。但如果你现在去参加一个聚会，客人很有可能最终会谈论被窃听的 iPhone。很难想出比这更明显的迹象来表明苹果公司已经出了严重问题。

飞马座揭露的可怕之处在于看不见的监视的想法。显然，Pegasus 开发商 NSO 和使用其软件的国家对国家元首、活动人士和政治记者的手机内容比普通 iPhone 用户的手机内容更感兴趣——但如果他们愿意的话，他们可能会看一下，这真是一个可怕的想法通缉。 （如果您担心，请阅读 如何检查您的 iPhone 是否被 NSO 的 Pegasus 间谍软件感染。）

Pegasus 可以而且已经在 Android 手机上使用，但人们更加关注它适用于 iPhone。 华盛顿邮报描述了iPhone 11如何摩洛哥持不同政见者的妻子因向她发送 iMessage 信息而遭到黑客攻击：这是一次所谓的零点击攻击，发生在她在法国期间。即使更新到最新版本的 iOS 似乎也无法提供保护。

也许这种对 iPhone 的关注对苹果来说有点不公平，苹果似乎总是在应对负面头条新闻（在 Macworld US 上，Macalope 反驳了这种看法，并称其为威胁），但这也并非完全没有根据，因为库比蒂诺公司本身就努力将 iPhone 打造为安全和隐私终极典范的形象。

巧妙的黑客还是粗心的苹果?

不久前，iPhone 被认为基本上不会受到黑客和政府特工机构的攻击：甚至律师和记者也天真地相信苹果公司的承诺，即任何人都无法访问其设备上的数据。但相关的问题不在于这是如何发生的；而是在于。问题是你是否可以责怪苹果。苹果只是巧妙黑客的受害者，还是我们可以指责库比蒂诺混合了虚假广告承诺、疏忽和贪婪?

苹果已经做出反应：库比蒂诺否认该威胁影响了许多用户。苹果安全工程和架构主管 Ivan Krstić 表示，这些攻击过于复杂。所报道的攻击方法的生命周期非常短，并且开发成本高达数百万美元。因此，只有少数高价值个体会受到这种方式的攻击；它不会对绝大多数用户构成威胁。

这个论点并不完全错误。包含 50,000 个电话号码的数据库无法对被监控的人数得出无懈可击的结论，但据信，NSO 的大约 60 名客户每年有近 100 人受到监控。

然而，对于贾迈勒·卡舒吉的未婚妻哈蒂斯·森吉兹（Hatice Cengiz）等受害者来说，这些相对较低的数字并不能带来多少安慰。根据国际特赦组织安全实验室的分析，Cengiz 的 iPhone 被黑客攻击仅四天后这名记者和持不同政见者被谋杀——尽管国家统计局否认了这一点。

像许多 iPhone 用户一样，Cengiz 会问为什么有人告诉她该设备比其他手机更安全。苹果多次承诺提供高水平的数据安全性。有些人怀疑这些是否是空头支票。

iMessage 问题

Pegasus 不使用第三方程序访问 iPhone。受害者经常通过消息（iMessage）、Apple Music、照片、FaceTime 和 Safari 等苹果应用程序受到攻击，国际特赦组织的研究表明，正是 iMessage 提供了黑客所利用的漏洞。

专家表示，苹果在消除 iMessage 中的漏洞方面存在很大问题。原因之一似乎是该应用程序不断提供新功能，例如 拟我表情和贴纸，不断提供新的潜在攻击点——每一项新功能都使应用程序对用户更具吸引力，但也更容易受到黑客的攻击。还有一些方便的方面可以使攻击变得更容易：例如，陌生人向您发送消息的能力（和合理性）。

Apple 知道这些问题。为了应对这些问题，它依靠新的安全功能，例如 BlastDoor，它会自动检查图像文件和网页预览，旨在防范恶意软件。

但是 BlastDoor 可能还不够。一些安全专家建议完全禁用 iMessage。

处理漏洞

在处理漏洞方面显然还有改进的空间。

Apple 运行 错误赏金计划，向报告系统缺陷的独立研究人员提供报酬。这是一个明智的想法，但苹果在处理错误报告的方式上似乎吝啬且犹豫不决。例如，开发人员 Nicolas Brunner 拥有 将该计划描述为谎言；他向 Apple 报告了一个 bug，整个过程拖延了 14 个月，最终被忽视。 “截至今天，”他写道，”苹果公司拒绝支付任何赏金，尽管手头的报告非常明确地符合他们自己的指导方针。”

这尤其令人震惊，因为发现 iOS 缺陷的研究人员知道他们可以从另一方获得报酬。 NSO 合作的公司将为 iOS 漏洞支付巨额奖励。

苹果经常以自己的方式行事。例如，该公司的营销部门被认为对始终如一的高安全标准构成了障碍，因为据一名前员工称，该部门在与外部安全专家沟通时坚持使用某些预先确定的消息。

苹果当然不是唯一受到攻击的智能手机制造商。如前所述，Pegasus 也没有放过 Android 智能手机。事实上，在Android上的影响可能更糟，因为Pegasus的痕迹在该平台上更难识别。这可能就是 iPhone 在已发现案例中如此突出的原因。

但是苹果能做什么呢?该公司在 iMessage 上推出一系列新功能时似乎很粗心，需要提高其聊天应用程序的安全性。它与安全研究人员的关系可以通过少量的财务支出和发现漏洞时的一点善意来改善。

苹果可能值得按照 Google 的威胁分析小组。有了这样的组织，苹果不仅可以提供更多的安全性，还可以改善其形象。然而，苹果的营销部门可能会否决该计划——这让我们了解了根本问题。

本文最初发表于Macwelt 。大卫·普莱斯翻译。