谷歌喊話蘋果：不要再偷偷摸摸修改用戶安全建議

　　2018-10-05 19:42:22　來源: 網易科技報道舉報


　　

　　圖：iOS上的Safari瀏覽器上，Google AMP頁面顯示在Google搜索中。

　　網易科技訊10月5日消息，谷歌創建了自己的Project Zero團隊，來改善包括谷歌和第三方產品在內的網際網路安全，該團隊甚至被稱為谷歌內部的超級黑客團隊、網路世界的「孤膽英雄」。因此該團隊研究人員發現蘋果Safari瀏覽器存在漏洞的事實，似乎也並不令人特別驚訝。據VentureBeat報道，周四，Project Zero發布了一篇新博客，主要講述蘋果修復漏洞的方法，博客中還描述了一個有趣的發現：蘋果在事件發生后悄然改變了其安全建議，Project Zero稱這是「誤導」，對macOS用戶也有潛在的危險。

　　新博客的大部分內容都在討論谷歌如何使用一個公開可用的工具，查找Safari中的可利用漏洞。Project Zero解釋說，它在一年前用同樣的工具找到了17個漏洞，今年又發現了9個，所有這些漏洞都是蘋果在被告知后、在此博客發布前修復的。

　　不幸的是，研究人員表示，大多數新發現的bug都出現在Apple的WebKit代碼庫中，已經存在了大約6個月到一年的時間，如果沒有谷歌的報告，這些bug（以及以前發現的bug）可能會存活更長時間。這為網路攻擊者提供了明顯的攻擊窗口。Project Zero暗示，如果蘋果使用了公開bug測試工具，那麼這些漏洞可能在公布前就被發現了，而不是任由用戶更容易受到攻擊。

　　撇開bug不談，Project Zero對蘋果解決用戶問題的方式表示擔憂。值得稱讚的是，蘋果於2018年9月17日，完成了這9個漏洞的修復工作，同時發布了安全建議。在漏洞被爆出的3個月後，蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初並未提及這些修復措施，實際上，在問題公布的一周后，蘋果悄無聲息地更改了原來的安全建議。

　　Project Zero推測，蘋果這麼做可能是有原因的，可能蘋果不願披露macOS中尚未修復的漏洞，但同時Project Zero在博客中表示：

　　「這種做法是有誤導性的，因為對蘋果安全建議感興趣的用戶也很可能只會讀一次，當安全建議第一次發布時，用戶得到的印象是：產品更新修復的缺陷和漏洞都比較少，也沒有那麼嚴重。但實際上，更新修復的漏洞數量要多得多而且更具嚴重性。

　　此外，蘋果並未同時發布移動端和台式機操作系統修復程序，這可能會使台式機用戶面臨不必要的風險，因為攻擊者可以對移動端更新中的補丁進行逆向工程，來攻擊台式機用戶。」

　　有人會認為谷歌的言論是來自競爭者的酸葡萄心理，因為蘋果也曾在用戶信任和隱私問題上挑釁競爭對手。但Project Zero的觀點是公平的。安全性受損的操作系統版本、一系列的瀏覽器問題，使得蘋果已為安全問題所困。在蘋果的代碼庫中不難發現漏洞，而且還會有一些奇怪的問題在「修復」之後的版本中再次出現。更好的預發布調試機制以及更高的透明度可能會有助於蘋果解決過去一年中一直困擾公司的問題。（馬克克）