文章来自微信公众号:栈外,原文标题:《Ben Thompson:搜索与安全,苹果的公平与坦诚》,作者:Ben Thompson,头图来自:东方IC
每次新的iPhone发布,都会是媒体的焦点。新处理性能如何优越,架构如何先进;屏幕有多绚丽,相机是怎样的精密。不仅美、新、精是众人关注的目标,感叹苹果创新乏力、进步缓慢或是市场波动的负面论断也能掀起层层波浪。
苹果曾标榜自己为每一位开发者提供了公平竞争的平台。但当其自身参与到App Store的激烈竞争中,并成为最大的竞争者之一的时候,公平似乎已经成为选择性使用的工具。
iOS的安全性一直是消费者所追逐信赖的目标,也是iPhone众多闪亮品质中较为突出的一颗明星。但面对Project Zero的提醒,苹果并没有拿出与自身商业规模相匹配的坦诚,反而是回避与否认来自对手的提问。
苹果是一家伟大的公司,但正如任何一部手机摔在地上都会破损一样,苹果也有自身无法回避的问题。
App Store涉嫌操纵排名
《纽约时报》报道:
纵观App Store的搜索结果,排名前几位的是在线经济中竞争最为激烈的排位战。App Store去年的营收超过500亿美元,并且苹果表示,三分之二的应用程序下载始于搜索。
但是,苹果自身已成为App Store最大的竞争者之一,但同时,在美国,俄罗斯和欧洲,怀疑苹果操纵搜索结果,向利于自身发展方向倾斜的言论,已经成为反垄断投诉的中心诉求。
《纽约时报》对应用分析公司Sensor Tower汇编的6年内搜索结果进行分析显示:最近,苹果的应用程序在App Store至少700个搜索词分类中排名第一;并且,有一些搜索结果在显示竞争对手的应用之前,排名前14的都是苹果的应用。(虽然竞争对手可以通过广告付费的方式让自己的产品更靠前)
《纽约时报》的这篇文章《苹果如何通过控制App Store来击败竞争对手的应用》算不上很新颖,《华尔街日报》在2019年7月也发表了同样的报道。除了平台所有者偏爱自己的应用程序所引发的现实问题之外,有三件事情值得注意:
第一,这篇文章的呈现方式较为新奇。我觉得马修·潘扎里诺(Matthew Panzarino)在2019年9月9日的推特上已经说的很清楚了:
十有八九,我都会觉得花哨的动图只会沦为不必要的新闻素材,但这次图片却十分吸引人。我觉得你能意识到鼠标在滚,但不曾想到它竟然滚动了这么多。
第二,下面这张静态图片值得重视:
注意到2019年7月的下跌,《纽约时报》这样写道:
苹果的工程师表明,他们在过去的几个月中,已经注意到算法是如何将搜索结果与苹果开发的应用绑定在一起。他们首先在特定的搜索类别中停止了该算法的应用,并在7月扩大到全部苹果开发的应用中去。
2019年7月12日,许多苹果开发的应用程序在热门搜索中的排名大幅下滑。“电视(TV)”搜索中排在前列的苹果应用数量从4款降到了2款,“视频(Video)”和“地图(Maps)”搜索中从3降低到了1。苹果钱包(苹果 Wallet)在“货币(Money)”和“信贷(Credit)”中让出了榜首的位置。
《华尔街日报》上关于苹果疑似不正当搜索结果的文章发布于2019年7月23日;7月12日的算法变更释放出一个信号,可能苹果被要求在接下来的几周内对这篇文章发表评论。《华尔街日报》旧金山分社的高级副社长是这么认为的:
斯科特·奥斯丁(Scott Austin):当《华尔街日报》询问苹果搜索问题的时候,苹果承认在7月份改变了App Store的算法。现在,《泰晤士报》也证实了我们的报道。
杰克·尼卡斯(Jack Nicas):根据SensorTower的数据,随着时间的推移,以苹果为榜首的搜索份额一直在上升,随着iOS的每一个新版本的推出,搜索份额都在上升。2019年7月,苹果表示改变了应用程序商店的搜索算法,很多苹果应用程序的排名都有所下降。
这就引出了这个故事的第三个惊人之处:苹果高管菲尔·席勒(Phil Schiller)和艾迪·库伊(Eddy Cue)的言论有点难以置信。他们这样回应7月份算法的改变:
算法一直运行正常,他们只是决定限制自己去帮助其他开发者。
库依说:“我们一直在犯错。”
席勒说:“但我们很乐意承认错误,认错是正确的行为。”
上述报道写道:
《泰晤士报》的分析揭露了其他一些苹果开发的应用取得成功的例子,同样令人惊讶。2019年3月25日,苹果推出了一款可以通过苹果 Wallet使用的品牌信用卡。第二天,在“货币(Money)”、“信贷(Credit)”和“借款(Debit)”这些搜索类别中,苹果 Wallet就占据了榜首,而在此前从未有过这样的情况。
库伊和其他的高管推测,苹果 Wallet应用的营销团队在应用的基本描述中添加了“货币”、“信贷”和“借款”等词语,让它在这些搜索结果出现。
然后人们搜索这些词,发现苹果 Wallet并点击了它,这就告诉算法:这应该是首选的结果。
席勒说:“我们只能告诉你,我们并没有做任何事情来推动这一趋势——也就是说,除了推出一个很棒的钱包、一张苹果信用卡,并大力推广它之外。”
我总觉得在新闻故事中阅读太多的引言不是很好,我看到过也经历过为了完成当天内容而强行引言的情况。尽管这样,下面这个例子还是难以置信:2018年末,苹果的应用占据了“音乐”分区的前八名,而Spotify是第23名。但是在Spotify向欧盟提起诉讼之后,算法竟然奇怪地自动修复了排名。老实说,如果苹果高管坦诚地说“他们确实操纵了搜索结果,因为他们觉得这样对用户更好”,我感觉会好些。
我也要承认,这篇报道削弱了我对议员伊丽莎白·沃伦(Elizabeth Warren)相关言论的批评——他当时狠狠地批判了苹果。我现在也很怀疑,Amazon在平台上主推自己的产品是否具有关键意义,零售业自有品牌的长时间运营对消费者有好处,并且Amazon自营商品只有个位数的市场份额。
苹果掌有iOS系统安装应用的生杀大权,这更令人担心。只要苹果有这样的权力,我就对它的变现规则感到不悦,对围绕操纵搜索结果的担心也越来越重。的确,苹果应该从App Store的创造中获利,并且也因该为提供平台实现这些创新而得到赞扬。但是,这并不意味着它需要积极地避免与其他竞争者的公平竞争。
苹果与Project Zero
这个故事有些跌宕起伏,所以我先总结发生了什么,然后再细细分析。首先,谷歌的Project Zero团队发表了一篇文章,题为《深入研究暴露在外的iOS漏洞链》。
Project Zero的任务是让黑客不能轻易发起零时差攻击(zero-day,零日漏洞,又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地讲,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性)。Project Zero团队经常与其他公司合作,发现并上报安全漏洞,最终目标是倡导提升流行系统的结构安全性,从而保护各地的用户。
今年早些时候,谷歌的威胁分析小组(TAG:Threat Analysis Group)发现了一小批被黑客入侵的网站。黑客通过这些网站对访问者进行无差别的水坑攻击,使用就是iPhone零日漏洞。
这样的攻击是无差别的;仅仅是访问了被黑客入侵的网站,你的设备就会漏洞服务器的遭到攻击。成功入侵之后,访问者的电脑还会被装上监视器。Project Zero估算这些网站每周有成千上万的访问者。
威胁分析小组收集了5个独立完整且专属于iPhone的漏洞链,几乎覆盖了从iOS 10到最新iOS 12的所有版本。这表明,在至少两年的时间里,某个组织一直在攻击某些iPhone用户。
威胁分析小组表示,他们将调查已选出的漏洞的根本原因,并讨论一些可以从苹果软件开发生命周期中获得的见解。而他们强调的根本原因并不新鲜,而且经常被忽略:一些似乎从未生效的代码案例、可能跳过质量验证(QA:Quality Assurance)的代码,或者是在交付给用户之前可能很少进行测试或审查的代码。
然后,上述文章的后七篇文章深入探讨了这些漏洞是如何工作的,它们在iOS中利用了哪些漏洞,以及苹果在开发过程中可能犯下的哪些错误导致了这些漏洞的出现。我说的“深入探讨”,并不是在开玩笑:我详细数了,这八篇报告的单词数(包括我在开头引证的导语)超过36,000个。虽然大量的代码例证增加了单词数量,但这也证明这系列文章确实是在深入探讨,并且很明显不是写给普罗大众看的。
作为一点背景知识,Project Zero是谷歌的一个团队,致力于搜索所有技术公司及其相关产品的漏洞。他们的目标较为崇高,尽管该团队曾因其90天政策的严格性而受到批评。在90天政策中,该团队会在向相关公司报告漏洞的90天后,公开发布有关漏洞的帖子。批评人士指出,90天的规定似乎并不适用于谷歌自身。
在这种情况下,公开发表仍然暴露在外的漏洞并没有什么问题:苹果于2019年2月7日修复了这些漏洞,同时Project Zero团队得到了表扬。坦诚来说,Project Zero过去两内年的文章不论是关于Chrome, Android,Windows,WhatsApp,还是iOS,都仅仅是对一个有趣的漏洞进行认真的探索。
然而苹果却不这么认为,企业通讯部总监弗雷德·塞恩兹(Fred Sainz)签署了一份令人震惊的声明,将矛头对准Project Zero的文章(甚至都没有补上链接)。在此我引用了苹果这篇《有关iOS安全性的通报》全文:
上周(指谷歌发表长文的日期),谷歌发表了一篇博客,讨论了苹果在2月份为iOS用户修复的漏洞。我们收到了一些客户的投诉,他们对其中一些说法表示担忧,但我们希望确保所有客户都能了解事实真相。
我在这里插了一句,强调一下“博客”这个词。也许他们使用“文章”这个词,会不会可信度更高?
首先,谷歌在iOS补丁发布6个月后发布的这篇文章,给人留下了“大规模利用”的错误印象,即“实时监控整个人群的私人活动”。这在所有iPhone用户中引发了焦虑,他们担心自己的设备已经被盗用了。但事实并不是这样。
其次,所有证据都表明,这些网站攻击只持续了很短的一段时间,大约两个月,而不是谷歌所指的“两年”。我们在2月份修复了漏洞——在我们了解到这个问题仅仅10天后,我们就非常迅速地解决了这个问题。当谷歌找到我们的时候,我已经开始修复工作了。
维护安全是场永无止境的旅行,我们的客户可以相信,我们时时刻刻都在为他们着想。iOS的安全性无与伦比,我们对硬件和软件的安全性承担着端到端的责任。我们全球的产品安全团队不断地进行迭代更新,以引入新的保护措施,并在发现漏洞时立即修补漏洞。在确保用户享有的安全性的路上,我们会永不停歇。
老实说,我不是很明白苹果发这样的声明有什么目的。Project Zero的博客开起了新闻循环:让大家看到这就是苹果,并且这也是有史以来iOS出现的最危险的漏洞。我很难理解为什么散播恐惧、不确定性和怀疑会让苹果的用户更安全;但是说真的,我听到这个消息之后更加紧张。
苹果的反应令人失望
苹果的声明有以下三方面的问题:
首先,苹果因为减少中国人受到的限制而受到表扬,虽然不知道这样的限制是否真的存在。即使说只有很少的网站会有这样的漏洞攻击,那也不能表示每一部iPhone都是安全的,只可能说明大多数的用户没有浏览那些网站(有报道说,漏洞是有地域特征的)。
事实是,苹果在iOS系统中有多个漏洞,虽然这次漏洞攻击可能没有影响到大多数用户,但这并不意味着这些漏洞没有在其他地方使用,或者不存在类似的破坏性漏洞。文章《布鲁斯·施奈尔的大转折》说到:
这几乎颠覆了我们对iPhone黑客认知。我们认为零时差很难,我们认为有效的零时差攻击的成本为200万美元或300万美元,而且只有政府在针对高价值目标时才谨慎使用。我们曾相信,如果一个漏洞被频繁使用,它会很快被发现和修补。
但这些在这里都不成立。那个组织使用了14个零日漏洞,他们不加区别地使用,且两年都没有被发现。
其次,苹果(这是他们声明的第二个问题)在声明中对两年的论点提出了异议,但我发现它缺乏说服力。正如谷歌所指出的,这些漏洞最初是针对iOS 10系统而开发的,并随着iOS一起更新;可能上述提到的问题网站只有两个月的被装上了漏洞,但名义上,漏洞至少存在了两年。没有人,包括苹果,知道这些漏洞可能还会用于哪些地方。
最后,声明的最后一段在说iOS的安全性更好 ,因为苹果的商业模式比谷歌好,但这是在自欺欺人。谷歌做了大量工作来发现并消除一个相当严重的iOS漏洞,苹果不管怎样都应该表示谢意。确实,被移动操作系统竞争对手指出缺点肯定会感到不快,但如果苹果真正首关心设备的使用安全,他们不仅会笑脸迎接这一指正,还可能建立自己的团队致力于根除不论是iOS还是Android的安全漏洞。
说到底,这个故事是说iOS存在安全漏洞,并且苹果应该为此承担责任。
文章来自微信公众号:栈外,原文标题:《Ben Thompson:搜索与安全,苹果的公平与坦诚》,作者:Ben Thompson