iOS 是一種嚴(yán)格的 Walled Garden

在維基百科中：

a “walled garden” refers to a carrier or service provider’s control over applications, content, and media on platforms (such as mobile devices) and restriction of convenient access to non-approved applications or content.

簡(jiǎn)單翻譯一下，運(yùn)營(yíng)商或者服務(wù)提供商對(duì)平臺(tái)(移動(dòng)設(shè)備)上的應(yīng)用、內(nèi)容和媒體進(jìn)行強(qiáng)勢(shì)控制，限制非法的應(yīng)用和內(nèi)容。維基百科文中提到，iOS 就是典型的 Walled Garden 運(yùn)作范例。

iOS 的圍欄花園是一種“圈養(yǎng)”式的模型，這種圈養(yǎng)，不僅僅是對(duì)最終用戶，更是對(duì)每一個(gè)應(yīng)用。打一個(gè)比喻，用戶就如一個(gè)孩子，被限制在一個(gè)周圍圍著高大圍欄的安全的活動(dòng)范圍里，而應(yīng)用就像圍欄花園中種的鮮花瓜果，這個(gè)花園的每一棵植物只允許生存在自己的花盆里，如果有邪惡的植物，比如毒花毒草企圖污染泥土、空氣或者把根伸到其他花盆，那它將被蘋果公司的園丁大叔連根帶泥整個(gè)扔掉。于是，在園丁大叔的強(qiáng)制管理下，花園里的各種植物按照規(guī)劃長(zhǎng)得規(guī)規(guī)矩矩。花園里鳥語花香，孩子在圍欄花園中放心玩樂，如此和諧“世界”只因有一個(gè)神一樣的存在——蘋果公司，它打造花園、建立秩序、維護(hù)秩序，正如人類社會(huì)一樣。這樣的圍欄花園為一個(gè)核心的政府意志所主導(dǎo)，其規(guī)則被一整套審核機(jī)構(gòu)進(jìn)行強(qiáng)制推行。

每一個(gè)應(yīng)用都是一個(gè)孤島

“每一個(gè)應(yīng)用都是一個(gè)孤島(Every App Is an Island)”，蘋果公司的開發(fā)文檔如是說。在信息世界，其他設(shè)計(jì)師們都在想辦法打破信息孤島的時(shí)候，這個(gè)設(shè)計(jì)很值得思考，安全至上的移動(dòng)操作系統(tǒng)，可以說極大程度的推崇應(yīng)用隔離，毫不客氣的犧牲了本機(jī)內(nèi)應(yīng)用間信息共享(實(shí)際上，應(yīng)用間的通信可以通過云端機(jī)制來解決大部分需求)，可以說在同一臺(tái)設(shè)備上，應(yīng)用間的距離是“咫尺天涯”。

換一種嚴(yán)謹(jǐn)?shù)募夹g(shù)語言來審視 iOS 上的應(yīng)用安全性特性，蘋果平臺(tái)中的應(yīng)用，被限制在沙箱(sandbox)中，應(yīng)用只看到沙箱容器目錄，不可見系統(tǒng)的其他目錄和整個(gè)文件系統(tǒng)，沙箱中關(guān)鍵子目錄，例如，/AppName.app、/Documents/、/Documents/Inbox、/Library/等目錄，每個(gè)子目錄使用方法有嚴(yán)格規(guī)定。沙箱嚴(yán)格控制文件目錄訪問，每個(gè)應(yīng)用僅能訪問自身的文件和數(shù)據(jù)，嚴(yán)格控制了硬件、系統(tǒng)共用數(shù)據(jù)、網(wǎng)絡(luò)等資源的使用權(quán)限。如果應(yīng)用不遵循設(shè)計(jì)規(guī)格，應(yīng)用或者不能正常運(yùn)作，或者在審核環(huán)節(jié)被廢棄，或者上市之后被下架。

有深入探究者會(huì)好奇，嚴(yán)格的沙箱結(jié)構(gòu)下，應(yīng)用只能訪問沙箱的容器目錄，應(yīng)用之間的文件共享究竟需要多大的代價(jià)?舉一個(gè)例子來幫助理解(非開發(fā)步驟)，EMail 應(yīng)用和 TXT 編輯應(yīng)用嚴(yán)格隔離，如果 EMail 的應(yīng)用需要 TXT 文本編輯器打開和顯示一個(gè)文本的附件，TXT 文本編輯器需要聲明自身能處理的文檔類型，當(dāng)用戶點(diǎn)擊 EMail 的附件并選擇了TXT文件編輯器的時(shí)候，EMail的TXT附件被 iOS 系統(tǒng)機(jī)制傳送到 TXT 文本編輯應(yīng)用的 /Documents/Inbox 目錄下，TXT 文本應(yīng)用讀取這個(gè)附件文件展現(xiàn)給用戶，當(dāng)用戶編輯這個(gè)文本附件，TXT 文本編輯應(yīng)用應(yīng)該將這個(gè)文件移動(dòng)到本應(yīng)用的數(shù)據(jù)目錄下，因?yàn)樯诚湟?guī)定/Documents/Inbox只有讀取和刪除文件的權(quán)限，并沒有寫文件的權(quán)限。這是嚴(yán)格的沙箱結(jié)構(gòu)的特例流程，蘋果公司官方開發(fā)文檔中需要專門文檔進(jìn)行闡述。

iOS 的沙箱不是Unix的應(yīng)用隔離機(jī)制

iOS 和 Android 有一定的親緣血統(tǒng)，這個(gè)血統(tǒng)來自于 Unix ，具有類似的進(jìn)程賬號(hào)綁定機(jī)制。Android 上使用不同的用戶賬號(hào)來運(yùn)行進(jìn)程，以此進(jìn)行應(yīng)用隔離，iOS 與此不同，所有應(yīng)用使用相同的用戶賬號(hào)來運(yùn)行進(jìn)程， 使用沙箱內(nèi)核擴(kuò)展來實(shí)施安全隔離機(jī)制，iOS 內(nèi)置了 35 個(gè)沙箱配置文件對(duì)應(yīng)不同類別應(yīng)用的運(yùn)行。iOS 的沙箱機(jī)制可以參看 iOS 的同源兄弟 Mac OS X上的 “sandbox-exec” 命令，其運(yùn)作機(jī)制可以參見下圖(來自“技術(shù)奇異點(diǎn)”博客)，在操作系統(tǒng)內(nèi)核對(duì)應(yīng)用訪問權(quán)限進(jìn)行強(qiáng)制檢查，圖中的 Access Control List 相當(dāng)于 sandbox-exec 命令中的沙箱配置文件profile。

sandbox- exec [- f profile- file] [ - n profile- name] [ - p profile- string] [- D key=value ...]

command [arguments ...]

$ sandbox-exec -f /usr/share/sandbox/bsd.sb /bin/ls

使用沙箱環(huán)境運(yùn)行程序/bin/ls程序，其沙箱配置文件為/usr/share/sandbox/bsd.sb。想體驗(yàn)一下沙箱的限制作用，可以運(yùn)行下面的命令：

$ sandbox-exec -n no-internet ping www.google.com

PING www.l.google.com (209.85.148.106): 56 data bytes

ping: sendto: Operation not permitted

……

可以看到限制了網(wǎng)絡(luò)的訪問權(quán)限之后，ping 程序?qū)⒉荒苷＿\(yùn)行。

Mac OS X上用戶可以運(yùn)行 sandbox-exec 命令，可以看到文件系統(tǒng)，以及控制沙箱，然而，iOS 上的沙箱則是無所不在的幕后黑手，沙箱就像是一方井水，應(yīng)用就像是坐井觀天的青蛙。

圍欄花園是運(yùn)營(yíng)出來的

盡管 iOS 上具有嚴(yán)密的機(jī)制隔離以及控制應(yīng)用，然而，再完備的操作系統(tǒng)也難免有漏洞，并非牢不可破。整個(gè) iOS 圍欄花園的應(yīng)用安全不僅僅靠 iOS 操作系統(tǒng)本身的架構(gòu)以及防衛(wèi)體系，更加依靠蘋果公司對(duì)整個(gè)平臺(tái)生態(tài)系統(tǒng)的經(jīng)營(yíng)。

蘋果公司通過終端(iPhone)與平臺(tái)(應(yīng)用商城 App Store 以及其他內(nèi)容傳送平臺(tái))的組合運(yùn)營(yíng)，逐步吸引和馴化用戶，平臺(tái)的應(yīng)用和內(nèi)容豐富了，成為用戶獲取應(yīng)用和內(nèi)容的主流渠道，因此用戶也逐漸忠誠，于是，聚集了海量高商業(yè)價(jià)值用戶的平臺(tái)成為蘋果公司的籌碼，得以要求逐利的應(yīng)用開發(fā)商遵循苛刻的安全準(zhǔn)則，平臺(tái)安全性則反過來增加用戶對(duì)平臺(tái)的信賴程度，使整個(gè)生態(tài)系統(tǒng)呈正反饋方向健康的發(fā)展。

在平臺(tái)運(yùn)營(yíng)中，需要有足夠的技術(shù)裝備，還需要巨額的人力成本和資源。在應(yīng)用上架之前以及任何時(shí)候?qū)o態(tài)代碼進(jìn)行掃描，逆向工程，運(yùn)行時(shí)檢查，杜絕惡意的應(yīng)用毀壞平臺(tái)的安全根基。

【編輯推薦】

1. 蘋果iOS軟件主管拋售95%股份
2. 微軟OS勁敵!服務(wù)器上升級(jí)Ubuntu新裝備
3. 蘋果拒絕用Dropbox新開發(fā)包創(chuàng)建的iOS應(yīng)用