成人不卡在线,日日夜夜网站,国产精品天天看,日韩理论在线播放

谷歌喊話蘋果:不要再偷偷摸摸修改用戶安全建議

通信 2018-10-06 12:46:55 來源:網(wǎng)易科技

  谷歌創(chuàng)建了自己的Project Zero團(tuán)隊(duì),來改善包括谷歌和第三方產(chǎn)品在內(nèi)的互聯(lián)網(wǎng)安全,該團(tuán)隊(duì)甚至被稱為谷歌內(nèi)部的超級(jí)黑客團(tuán)隊(duì)、網(wǎng)絡(luò)世界的“孤膽英雄”。因此該團(tuán)隊(duì)研究人員發(fā)現(xiàn)蘋果Safari瀏覽器存在漏洞的事實(shí),似乎也并不令人特別驚訝。

  據(jù)VentureBeat報(bào)道,周四,Project Zero發(fā)布了一篇新博客,主要講述蘋果修復(fù)漏洞的方法,博客中還描述了一個(gè)有趣的發(fā)現(xiàn):蘋果在事件發(fā)生后悄然改變了其安全建議,Project Zero稱這是“誤導(dǎo)”,對(duì)macOS用戶也有潛在的危險(xiǎn)。

  新博客的大部分內(nèi)容都在討論谷歌如何使用一個(gè)公開可用的工具,查找Safari中的可利用漏洞。Project Zero解釋說,它在一年前用同樣的工具找到了17個(gè)漏洞,今年又發(fā)現(xiàn)了9個(gè),所有這些漏洞都是蘋果在被告知后、在此博客發(fā)布前修復(fù)的。

  不幸的是,研究人員表示,大多數(shù)新發(fā)現(xiàn)的bug都出現(xiàn)在Apple的WebKit代碼庫中,已經(jīng)存在了大約6個(gè)月到一年的時(shí)間,如果沒有谷歌的報(bào)告,這些bug(以及以前發(fā)現(xiàn)的bug)可能會(huì)存活更長時(shí)間。這為網(wǎng)絡(luò)攻擊者提供了明顯的攻擊窗口。Project Zero暗示,如果蘋果使用了公開bug測試工具,那么這些漏洞可能在公布前就被發(fā)現(xiàn)了,而不是任由用戶更容易受到攻擊。

  撇開bug不談,Project Zero對(duì)蘋果解決用戶問題的方式表示擔(dān)憂。值得稱贊的是,蘋果于2018年9月17日,完成了這9個(gè)漏洞的修復(fù)工作,同時(shí)發(fā)布了安全建議。在漏洞被爆出的3個(gè)月后,蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初并未提及這些修復(fù)措施,實(shí)際上,在問題公布的一周后,蘋果悄無聲息地更改了原來的安全建議。

  Project Zero推測,蘋果這么做可能是有原因的,可能蘋果不愿披露macOS中尚未修復(fù)的漏洞,但同時(shí)Project Zero在博客中表示:

  “這種做法是有誤導(dǎo)性的,因?yàn)閷?duì)蘋果安全建議感興趣的用戶也很可能只會(huì)讀一次,當(dāng)安全建議第一次發(fā)布時(shí),用戶得到的印象是:產(chǎn)品更新修復(fù)的缺陷和漏洞都比較少,也沒有那么嚴(yán)重。但實(shí)際上,更新修復(fù)的漏洞數(shù)量要多得多而且更具嚴(yán)重性。

  此外,蘋果并未同時(shí)發(fā)布移動(dòng)端和臺(tái)式機(jī)操作系統(tǒng)修復(fù)程序,這可能會(huì)使臺(tái)式機(jī)用戶面臨不必要的風(fēng)險(xiǎn),因?yàn)楣粽呖梢詫?duì)移動(dòng)端更新中的補(bǔ)丁進(jìn)行逆向工程,來攻擊臺(tái)式機(jī)用戶。”

  有人會(huì)認(rèn)為谷歌的言論是來自競爭者的酸葡萄心理,因?yàn)樘O果也曾在用戶信任和隱私問題上挑釁競爭對(duì)手。但Project Zero的觀點(diǎn)是公平的。安全性受損的操作系統(tǒng)版本、一系列的瀏覽器問題,使得蘋果已為安全問題所困。在蘋果的代碼庫中不難發(fā)現(xiàn)漏洞,而且還會(huì)有一些奇怪的問題在“修復(fù)”之后的版本中再次出現(xiàn)。更好的預(yù)發(fā)布調(diào)試機(jī)制以及更高的透明度可能會(huì)有助于蘋果解決過去一年中一直困擾公司的問題。

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與中創(chuàng)網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

分享:

掃一掃在手機(jī)閱讀、分享本文