設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

谷歌喊話蘋果:不要再偷偷摸摸修改用戶安全建議

2018/10/5 20:16:52 來源:網(wǎng)易科技 作者:馬克克 責(zé)編:馬卡

10月5日消息,谷歌創(chuàng)建了自己的Project Zero團(tuán)隊,來改善包括谷歌和第三方產(chǎn)品在內(nèi)的互聯(lián)網(wǎng)安全,該團(tuán)隊甚至被稱為谷歌內(nèi)部的超級黑客團(tuán)隊、網(wǎng)絡(luò)世界的“孤膽英雄”。因此該團(tuán)隊研究人員發(fā)現(xiàn)蘋果Safari瀏覽器存在漏洞的事實(shí),似乎也并不令人特別驚訝。據(jù)VentureBeat報道,周四,Project Zero發(fā)布了一篇新博客,主要講述蘋果修復(fù)漏洞的方法,博客中還描述了一個有趣的發(fā)現(xiàn):蘋果在事件發(fā)生后悄然改變了其安全建議,Project Zero稱這是“誤導(dǎo)”,對macOS用戶也有潛在的危險。

新博客的大部分內(nèi)容都在討論谷歌如何使用一個公開可用的工具,查找Safari中的可利用漏洞。Project Zero解釋說,它在一年前用同樣的工具找到了17個漏洞,今年又發(fā)現(xiàn)了9個,所有這些漏洞都是蘋果在被告知后、在此博客發(fā)布前修復(fù)的。

圖:iOS上的Safari瀏覽器上,Google AMP頁面顯示在Google搜索中。

不幸的是,研究人員表示,大多數(shù)新發(fā)現(xiàn)的bug都出現(xiàn)在Apple的WebKit代碼庫中,已經(jīng)存在了大約6個月到一年的時間,如果沒有谷歌的報告,這些bug(以及以前發(fā)現(xiàn)的bug)可能會存活更長時間。這為網(wǎng)絡(luò)攻擊者提供了明顯的攻擊窗口。Project Zero暗示,如果蘋果使用了公開bug測試工具,那么這些漏洞可能在公布前就被發(fā)現(xiàn)了,而不是任由用戶更容易受到攻擊。

撇開bug不談,Project Zero對蘋果解決用戶問題的方式表示擔(dān)憂。值得稱贊的是,蘋果于2018年9月17日,完成了這9個漏洞的修復(fù)工作,同時發(fā)布了安全建議。在漏洞被爆出的3個月后,蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初并未提及這些修復(fù)措施,實(shí)際上,在問題公布的一周后,蘋果悄無聲息地更改了原來的安全建議。

Project Zero推測,蘋果這么做可能是有原因的,可能蘋果不愿披露macOS中尚未修復(fù)的漏洞,但同時Project Zero在博客中表示:

“這種做法是有誤導(dǎo)性的,因為對蘋果安全建議感興趣的用戶也很可能只會讀一次,當(dāng)安全建議第一次發(fā)布時,用戶得到的印象是:產(chǎn)品更新修復(fù)的缺陷和漏洞都比較少,也沒有那么嚴(yán)重。但實(shí)際上,更新修復(fù)的漏洞數(shù)量要多得多而且更具嚴(yán)重性。

此外,蘋果并未同時發(fā)布移動端和臺式機(jī)操作系統(tǒng)修復(fù)程序,這可能會使臺式機(jī)用戶面臨不必要的風(fēng)險,因為攻擊者可以對移動端更新中的補(bǔ)丁進(jìn)行逆向工程,來攻擊臺式機(jī)用戶?!?/p>

有人會認(rèn)為谷歌的言論是來自競爭者的酸葡萄心理,因為蘋果也曾在用戶信任和隱私問題上挑釁競爭對手。但Project Zero的觀點(diǎn)是公平的。安全性受損的操作系統(tǒng)版本、一系列的瀏覽器問題,使得蘋果已為安全問題所困。在蘋果的代碼庫中不難發(fā)現(xiàn)漏洞,而且還會有一些奇怪的問題在“修復(fù)”之后的版本中再次出現(xiàn)。更好的預(yù)發(fā)布調(diào)試機(jī)制以及更高的透明度可能會有助于蘋果解決過去一年中一直困擾公司的問題。

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會買 要知