关于ios:论证iOS安全性为什么需要审核

一、前言

最近，Epic Games vs Apple 的诉讼大战十分的强烈精彩，报料的内幕消息也非常劲爆！满足了一波炎炎夏日的吃瓜大众，当然作为技术人员，咱们除了关注瓜甜不甜，还要剖析这瓜为什么甜？
Epic Games 邀请了一位专家证人，针对“iOS 安全性”这个问题进行开展答辩，即：苹果能够让 iOS 零碎，在利用散发和第三方拜访等方面更像 macOS，也不会在安全性方面受到影响。

二、注释

2.1 答辩者

针对这个辩题：“iOS 本能够和 macOS 一样凋谢，不安受全性影响”（iOS could be like macOS without security drawbacks），咱们先来看看答辩者，Epic Games 的专家证人，哈佛学大计算机科学传授 James Mickens，这是何许人也？

大家对 James Mickens 传授可能不太理解，没有关系！咱们能够通过维基百科 一起来看看：

James W. Mickens 是美国计算机科学家，是哈佛大学约翰·A·保尔森工程与应用科学学院的 Gordon McKay 计算机科学传授。他的钻研重点是分布式系统，例如大规模服务以及使它们更平安的办法。他对将机器学习作为解决最突出的计算问题的样板解决方案持批评态度。

另外，八卦一下，“Gordon McKay”这个头衔：戈登·麦凯（Gordon McKay）是一位富裕的商人，他向哈佛捐献了一大笔钱，这笔钱被存入了一个信托基金。该基金的资金用于领取哈佛的 40 个不同的传授职位。领有戈登·麦凯授予的椅子的人——即受雇于哈佛大学传授的人，其职位由戈登·麦凯设立的信托基金赞助——将领有“戈登·麦凯传授”的头衔。援用起源：What is a ‘Gordon McKay Professor’? – Quora

针对答辩者 James Mickens 传授的介绍，大家能够晓得，他关注的畛域是计算机和平安方面，应该会有本人的一些独到的见解，所以，就让咱们走进这位大神的答辩吧！

2.2 论点

咱们理解了作者的背景材料后，回到明天的正题，来看看这场答辩的论点：

论断摘要:

• iPhone 的平安保障次要由 iPhone 的操作系统（iOS）执行
• 有证据表明，利用审核 (App Review) 的流程在强制额定的平安属性方面做的很弱，这些属性不能独自由操作系统强制执行（笔者注：这里的意思是指，苹果的审核其实对安全性方面审查很弱鸡！？）
• iOS 和 macOS 很像，曾经可能装置不是通过苹果利用商店 (App Store) 散发的应用程序
• 如果苹果容许 iPhone 用户抉择第三方利用散发渠道，那么这些用户也不会蒙受安全性显着升高的体验

针对这些点论，咱们不要焦急辩解，接下来，先听听传授是怎么开展答辩啊~

2.3 论据：如何在 iPhone 上施行安全措施？

从图中能够看到，在 iPhone 上的平安防护分了三层：

• 设施内部平安(OFF-DEVICE SECURITY)：利用发分。（Can be performed by third parties（能够由第三方执行））
• 设施外部平安(ON-DEVICE SECURIY)：操作系统。（Independent of app distribution method（独立于应用程序散发办法））
• 设施外部平安(OFF-DEVICE SECURITY)：硬件

设施内部平安(OFF-DEVICE SECURITY)，分为：

• App Review（利用审核）
• Developer Identification（开发者身份辨认）
• Code Signing（代码签名）

这些形式，绝对于 iOS 设施上的安全性机制提供的最低限度安全性（如果有的话）（Provides minimal (if any) security benefits relative to what iOS on-device security mechanisms provide）。

笔者注：这里传授意思是，这部分的平安防护收益起码，言下之意是说，App Review（利用审核）对安全性防护作用很少！？

这里其实就是本次答辩的主题，Epic Games 心愿苹果升高 AppStore 内购分成，最间接的形式，间接不走苹果利用审核，这样就完满啦！所以 Epic Games 找到了安全性的角度：从 iOS 安全性来说，利用审核的作用很小，所以，利用散发能够不通过苹果审核！？

明确了 Epic Games 的需要，咱们就能够猜到，James Mickens 传授接下来就是要证实，iOS 的安全性是如何进攻的，思路很重要，咱们接着持续吃瓜！

设施外部平安(ON-DEVICE SECURIY)：（操作系统），分为：

• Digital Signature Validation（数字签名验证）
• Sandboxing（沙盒机制）
• Address Space Layout Randomization (ASLR)（地址空间布局随机化）
• Execute Never (WX)（永不执行，WX：要么写，要么执行，但不能同时可写可执行）
• Memory Isolation（内存隔离）
• Kernel Integrity Protection（内核完整性爱护）
• Page Protection Layer（内存页保护层）

设施外部平安(ON-DEVICE SECURIY)：（硬件），分为：

• Biometric Authentication（生物认证）
• Secure Enclave（平安区域）
• Storage Encryption（存储加密）
• Secure Boot（平安启动）

操作系统和硬件层，接下来会开展，所以咱们先说说第一层，传授认为第一层的平安防护绝对第二层和第三层的作用，是最低限度（minimal），其实，就是想颠覆苹果的利用审核机制，这个观点不重点(大家不必太纠结)，咱们要关注的重点是传授是如何论证，这才是吃瓜重点哦

2.4 操作系统设计

传授真的太用心了！为了不便吃瓜大众了解（法官？），就是刚刚说的第二和第三层，不是学计算机技术的同学，可能不太能了解，所以传授先交叉了一个比照图：

从图上能够看到，传授把餐厅和计算设施 (计算机，iPhone 也是微型计算机) 做比照，也就是说，大家能够把 iPhone 了解成一个“餐厅”。

1. 食客 -> App
2. 服务员 -> 中间件
3. 厨师 -> 内核
4. 厨房 -> 硬件

一个餐厅的外围是什么？当然是厨师和服务员啊！所以这部分就是相当于操作系统，也就是 iOS 零碎，iPhone 的外围。

大家应该能能了解吧，感觉有点情理~ 所以，传授又开始阐述 iOS 操作系统：

2.5 论据：如何在 iPhone 上施行安全措施？（操作系统）

• Kernel Integrity Protection（内核完整性爱护）
• Page Protection Layer（内存页保护层）

这 2 个个性是内核内存保护，这里临时也不作过多介绍，后续如果有工夫笔者在独立写篇文章开展说说吧。大家有趣味也能够自行搜寻一下啊~

• Address Space Layout Randomization (ASLR)（地址空间布局随机化）
• Execute Never (WX)（永不执行，WX：要么写，要么执行，但不能同时可写可执行）
• Memory Isolation（内存隔离）

这 3 个个性，是用在内核和 App 之间的内存保护。下文会具体介绍，这里先略过啊。

PDX-0081-07.png

• Sandboxing（沙盒机制）

沙盒是一种平安机制，用于避免不同利用之间相互拜访。iOS 零碎下每个利用都有本人对应的沙盒，每个沙盒之间都是互相独立的，互不能拜访（没有越狱的状况下）。

• 每个应用程序都有本人的存储空间；
• 应用程序不能越过本人的空间去拜访不属于本人的空间资源；
• 应用程序申请的数据都要通过权限检测，如果不符合条件的话，不能获取到。

沙盒机制，这个不必多说大家都晓得，iOS 沙盒：每个 App 独自的资源，不单单是说存储空间，还包含过程调度等，iOS 零碎会隔离行为异样的过程，保障 App 之间互相隔离，确保每个 App 的安全性。

• Digital Signature Validation（数字签名验证）

这个好了解，就是启动 App 时，都会查看包体里的开发者证书，查看代码签名，受权各种 App 散发模型（也就是不同类型的受权证书，集体、公司、企业等签名的证书）。

综上，这些操作系统 (iOS) 的个性，是独立于 App 散发的平安防护办法。

笔者注：App 散发，这里重点是指苹果的利用审核，也就是说，iOS 零碎自身自带的平安个性，是不依赖 App 散发渠道，更加不依赖苹果利用审核。

2.6 iOS 利用审核：平安属性

PDX-0081-12.png

从上图能够看出，传授是通过几个平安属性，比照苹果利用审核和 iOS 零碎设施，从以下几个方面进行比照：

• Sandbox Compliance（沙箱合规性）
• Exploit Resistance（进攻抵制）
• Malware Exclusion（恶意软件排除）
• User Consent for Private Data（用户批准的私人数据）
• Legal Compliance（非法合规）

前三点，利用审核和 iOS 零碎都可能做到，所以，咱们就看看不同的点，“User Consent for Private Data（用户批准的私人数据）”，这个苹果审核的确是很难查看，传授说：“weak, at best”(弱，充其量)，而 iOS 零碎，传授认为通过监听系统 API 调用，能够做到平安防护，感觉也还行？但如同都无奈完全避免用户的私人数据不被收集和利用啊。

最初的“Legal Compliance（非法合规）”，传授认为：“通过苹果审核或者 iOS 零碎，都很难确定”。主观来说，其实人工审核还是能够防止一些问题的（比方版权问题），所以传授的这个观点有点站不稳脚啊~ 当然，利用过审后更改利用内容，这个也是利用审核无奈防止的问题，如果是这个，那就与传授说的论断统一啊，这个就仁者见仁啦~

最初总结一下 iOS 零碎的平安个性 苹果的安全性，如果大家理解过越狱，或者 iOS 零碎底层，肯定会看到过的 ==Sandboxing、ASLR、W^X、KIP 这些名词，所以，笔者为大家总结这些名词的含意（如果感觉不错，就给咱们点赞吧！）：

2.7 iOS App 散发模型：平安个性

传授了为强调 App Review 审核，总结了目前 iOS App 散发的形式：

• App Store
• 企业证书签名
• TestFlight 测试

从图中能够看到，传授是想表白，App Review 这个流程有没有，如同不影响？？
笔者注：有 2 点须要指出纠正，第一点是 TestFlight 测试如果要对外开放，是须要人工审核的，具体见官网文档：TestFlight – Apple Developer。第二点，除了以上散发形式，国内还呈现一种叫“超级签名”的散发形式，具体能够看这篇文章：说说 iOS 非 AppStore 装置 App 的办法。

2.8 macOS：App 散发模型

说了这么多，传授话锋一转，终于回到辩题上啦！iOS vs macOS 零碎比照，所以开始解说 macOS 零碎目前散发 App 的形式：

• Mac App Store
• 第三方散发（公证）
• 第三方散发（不审核 + 不公证）

笔者注：Notarization(公证)，从 macOS 10.15 起，所有从互联网下载的未进行 Notarization(公证) 的 App，默认将无奈被关上，所以在 App Store 外散发的 App，必须在公布前将 App 上传到苹果的服务器进行解决。公证就是要把包通过指令发送到苹果服务器进行验证(有没有病毒什么的)，而后通过后，苹果会返回验证后的包体，这个包体就能够分发给他人装置。更多公证的材料，能够查看苹果官网材料：All About Notarization – WWDC 2019 – Videos – Apple Developer。

2.9 比照 iOS 和 macOS 的软件层

从图中能够看到，iOS 和 macOS 的外围零碎都是共享，而中间件会有各自非凡的解决。也就是说，在操作系统底层，iOS 和 macOS 的平安机制十分的类似。

笔者注：苹果从去年 WWDC20 推出 macOS 11 Big Sur 和 ARM 架构的 Apple Silicon M1 芯片后，其实 M1 设施的零碎疏导启动流程，就是间接搬 iPhone 的流程，因为大家都是 ARM 架构，而且 iPhone 上的设计曾经十分欠缺，所以，在零碎底层上，iPhone 和 M1(macOS Big Sur) 的确是十分的类似了，具体能够看看 WWDC20 视频：Explore the new system architecture of Apple silicon Macs – WWDC 2020 – Videos – Apple Developer。

2.10 如何在 iOS 和 macOS 上施行安全性？

最初，传授通过比方 iOS 和 macOS 之间安全性的相同点和差别点，给出了论断，在 iOS 上实际 macOS 的安全性的三个技术点：

• Notarization (公证)
• Catekeeper（门禁，看门人）
• Malware Scanners（恶意软件扫描器）

笔者注：Gatekeeper 可保障用户装置来自 Mac App Store 或者领有开发者签名的利用。具体来说，它能够作为 Mac App Store 的利用甄别工具，也可辨认来自 Mac App Store 以外利用的开发者身份，从而避免一些恶意软件的进入。参考官网材料：Advances in macOS Security – WWDC 2019 – Videos – Apple Developer、Safely open apps on your Mac – Apple Support、在 macOS 部署中应用门禁 – Apple 反对。

到此，传授的用意很明确了！

“iOS 本能够和 macOS 一样凋谢，不安受全性影响”

如果在 iOS 零碎减少以上 3 个 macOS 的平安个性，那么 iOS App 的平安防护应该能够失去进一步的晋升，iPhone 的平安也失去了进一步的保障。当然，传授的这所有论证都是从技术安全性来思考，如果是从兽性平安角度呢？

所以，大家怎么看这个问题，欢送在评论区一起探讨啊~

2.11 App 散发：设计含意

最初，传授给了一张 iOS 和 macOS 比照图，到此，答辩完结~

这张总结的图片，是想表白，在 iOS 和 macOS 的 App 散发中，操作系统曾经做了安全性保障，而苹果利用审核只是保障了 App Store 渠道和 Notarized(公证，次要作用是扫描恶意软件病毒的性能。)，而其它的散发形式，比方开发者企业证书、TestFlight、Mac 未认证的 第三方 App 等渠道，其实也没有苹果利用审核，然而目前也没有安全性问题？？？

所以，苹果是不是能够让第三方的散发渠道更凋谢？？？

三、总结

大家能够看得出来，传授的整个论证过程十分的有意思，而且咱们从中能够学到很多 iOS 的常识，真的是吃瓜又涨常识！

传授说的 iOS 减少 Notarization (公证)、Catekeeper（门禁，看门人）、Malware Scanners（恶意软件扫描器）后安全性与 macOS 相当，而 macOS 并没有大的平安问题，所以像 macOS 一样凋谢 iOS 零碎，而不须要利用审核，如同也是十分正当！？当然，James Mickens 传授的证词是为了保卫 Epic Games 拥护 iOS 利用商店的一个外围论证。大家能够放弃本人的观点和思考，不用实现承受啊。

笔者认为，从平安技术上，传授的思考角度十分有情理，从技术安全性来说，咱们要晋升安全性，就是从攻防着手，还有就是借鉴优良的设计（比方 macOS），的确是值得 iOS 借鉴。

至于，iOS 人工审核的机制或者 App Store 机制，就没有方法一两句话能说分明的，所以咱们打算在下一篇文章，谈谈苹果利用审核的相干底细材料，敬请期待~

明天吃瓜就到这里，大家有任何问题，欢送在评论区一起交换啊~

你也能够私信我及时获取 iOS 开发 以及面试相干材料。如果你有什么意见和倡议欢送给我留言。

四、参考

• James Mickens – Wikipedia
• What is a ‘Gordon McKay Professor’? – Quora
• Explore the new system architecture of Apple silicon Macs – WWDC 2020 – Videos – Apple Developer
• TestFlight – Apple Developer
• 说说 iOS 非 AppStore 装置 App 的办法
• All About Notarization – WWDC 2019 – Videos – Apple Developer
• Safely open apps on your Mac – Apple Support
• Advances in macOS Security – WWDC 2019 – Videos – Apple Developer
• 在 macOS 部署中应用门禁 – Apple 反对
• Epic Games expert says iOS could be like macOS without security drawbacks | AppleInsider
• Epic 专家：苹果 iOS 本能够和 macOS 一样凋谢，不受安全性影响 – IT 之家

点击获取：iOS 面试材料

请 iOS 的小伙伴关注！喜爱的话给一个赞吧！谢谢！谢谢！谢谢