谷歌喊話蘋果:不要再偷偷摸摸修改使用者安全建議
圖:iOS上的Safari瀏覽器上,Google AMP頁面顯示在Google搜尋中。
網易科技訊10月5日訊息,谷歌建立了自己的Project Zero團隊,來改善包括谷歌和第三方產品在內的網際網路安全,該團隊甚至被稱為谷歌內部的超級黑客團隊、網路世界的“孤膽英雄”。因此該團隊研究人員發現蘋果Safari瀏覽器存在漏洞的事實,似乎也並不令人特別驚訝。據VentureBeat報道,週四,Project Zero釋出了一篇新部落格,主要講述蘋果修復漏洞的方法,部落格中還描述了一個有趣的發現:蘋果在事件發生後悄然改變了其安全建議,Project Zero稱這是“誤導”,對macOS使用者也有潛在的危險。
新部落格的大部分內容都在討論谷歌如何使用一個公開可用的工具,查詢Safari中的可利用漏洞。Project Zero解釋說,它在一年前用同樣的工具找到了17個漏洞,今年又發現了9個,所有這些漏洞都是蘋果在被告知後、在此部落格釋出前修復的。
不幸的是,研究人員表示,大多數新發現的bug都出現在Apple的WebKit程式碼庫中,已經存在了大約6個月到一年的時間,如果沒有谷歌的報告,這些bug(以及以前發現的bug)可能會存活更長時間。這為網路攻擊者提供了明顯的攻擊視窗。Project Zero暗示,如果蘋果使用了公開bug測試工具,那麼這些漏洞可能在公佈前就被發現了,而不是任由使用者更容易受到攻擊。
撇開bug不談,Project Zero對蘋果解決使用者問題的方式表示擔憂。值得稱讚的是,蘋果於2018年9月17日,完成了這9個漏洞的修復工作,同時釋出了安全建議。在漏洞被爆出的3個月後,蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初並未提及這些修復措施,實際上,在問題公佈的一週後,蘋果悄無聲息地更改了原來的安全建議。
Project Zero推測,蘋果這麼做可能是有原因的,可能蘋果不願披露macOS中尚未修復的漏洞,但同時Project Zero在部落格中表示:
“這種做法是有誤導性的,因為對蘋果安全建議感興趣的使用者也很可能只會讀一次,當安全建議第一次釋出時,使用者得到的印象是:產品更新修復的缺陷和漏洞都比較少,也沒有那麼嚴重。但實際上,更新修復的漏洞數量要多得多而且更具嚴重性。
此外,蘋果並未同時釋出移動端和桌上型電腦作業系統修復程式,這可能會使桌上型電腦使用者面臨不必要的風險,因為攻擊者可以對移動端更新中的補丁進行逆向工程,來攻擊桌上型電腦使用者。”
有人會認為谷歌的言論是來自競爭者的酸葡萄心理,因為蘋果也曾在使用者信任和隱私問題上挑釁競爭對手。但Project Zero的觀點是公平的。安全性受損的作業系統版本、一系列的瀏覽器問題,使得蘋果已為安全問題所困。在蘋果的程式碼庫中不難發現漏洞,而且還會有一些奇怪的問題在“修復”之後的版本中再次出現。更好的預釋出除錯機制以及更高的透明度可能會有助於蘋果解決過去一年中一直困擾公司的問題。(馬克克)
本文來源:網易科技報道 責任編輯:郭浩_NT5629