谷歌創(chuàng)建了自己的Project Zero團(tuán)隊(duì)，來改善包括谷歌和第三方產(chǎn)品在內(nèi)的互聯(lián)網(wǎng)安全，該團(tuán)隊(duì)甚至被稱為谷歌內(nèi)部的超級(jí)黑客團(tuán)隊(duì)、網(wǎng)絡(luò)世界的“孤膽英雄”。因此該團(tuán)隊(duì)研究人員發(fā)現(xiàn)蘋果Safari瀏覽器存在漏洞的事實(shí)，似乎也并不令人特別驚訝。

　　據(jù)VentureBeat報(bào)道，周四，Project Zero發(fā)布了一篇新博客，主要講述蘋果修復(fù)漏洞的方法，博客中還描述了一個(gè)有趣的發(fā)現(xiàn)：蘋果在事件發(fā)生后悄然改變了其安全建議，Project Zero稱這是“誤導(dǎo)”，對(duì)macOS用戶也有潛在的危險(xiǎn)。

　　新博客的大部分內(nèi)容都在討論谷歌如何使用一個(gè)公開可用的工具，查找Safari中的可利用漏洞。Project Zero解釋說，它在一年前用同樣的工具找到了17個(gè)漏洞，今年又發(fā)現(xiàn)了9個(gè)，所有這些漏洞都是蘋果在被告知后、在此博客發(fā)布前修復(fù)的。

　　不幸的是，研究人員表示，大多數(shù)新發(fā)現(xiàn)的bug都出現(xiàn)在Apple的WebKit代碼庫中，已經(jīng)存在了大約6個(gè)月到一年的時(shí)間，如果沒有谷歌的報(bào)告，這些bug（以及以前發(fā)現(xiàn)的bug）可能會(huì)存活更長時(shí)間。這為網(wǎng)絡(luò)攻擊者提供了明顯的攻擊窗口。Project Zero暗示，如果蘋果使用了公開bug測試工具，那么這些漏洞可能在公布前就被發(fā)現(xiàn)了，而不是任由用戶更容易受到攻擊。

　　撇開bug不談，Project Zero對(duì)蘋果解決用戶問題的方式表示擔(dān)憂。值得稱贊的是，蘋果于2018年9月17日，完成了這9個(gè)漏洞的修復(fù)工作，同時(shí)發(fā)布了安全建議。在漏洞被爆出的3個(gè)月后，蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初并未提及這些修復(fù)措施，實(shí)際上，在問題公布的一周后，蘋果悄無聲息地更改了原來的安全建議。

　　Project Zero推測，蘋果這么做可能是有原因的，可能蘋果不愿披露macOS中尚未修復(fù)的漏洞，但同時(shí)Project Zero在博客中表示：

　　“這種做法是有誤導(dǎo)性的，因?yàn)閷?duì)蘋果安全建議感興趣的用戶也很可能只會(huì)讀一次，當(dāng)安全建議第一次發(fā)布時(shí)，用戶得到的印象是：產(chǎn)品更新修復(fù)的缺陷和漏洞都比較少，也沒有那么嚴(yán)重。但實(shí)際上，更新修復(fù)的漏洞數(shù)量要多得多而且更具嚴(yán)重性。

　　此外，蘋果并未同時(shí)發(fā)布移動(dòng)端和臺(tái)式機(jī)操作系統(tǒng)修復(fù)程序，這可能會(huì)使臺(tái)式機(jī)用戶面臨不必要的風(fēng)險(xiǎn)，因?yàn)楣粽呖梢詫?duì)移動(dòng)端更新中的補(bǔ)丁進(jìn)行逆向工程，來攻擊臺(tái)式機(jī)用戶。”

　　有人會(huì)認(rèn)為谷歌的言論是來自競爭者的酸葡萄心理，因?yàn)樘O果也曾在用戶信任和隱私問題上挑釁競爭對(duì)手。但Project Zero的觀點(diǎn)是公平的。安全性受損的操作系統(tǒng)版本、一系列的瀏覽器問題，使得蘋果已為安全問題所困。在蘋果的代碼庫中不難發(fā)現(xiàn)漏洞，而且還會(huì)有一些奇怪的問題在“修復(fù)”之后的版本中再次出現(xiàn)。更好的預(yù)發(fā)布調(diào)試機(jī)制以及更高的透明度可能會(huì)有助于蘋果解決過去一年中一直困擾公司的問題。