图:iOS上的Safari浏览器上,Google AMP页面显示在Google搜索中。
网易科技讯10月5日消息,谷歌创建了自己的Project Zero团队,来改善包括谷歌和第三方产品在内的互联网安全,该团队甚至被称为谷歌内部的超级黑客团队、网络世界的“孤胆英雄”。因此该团队研究人员发现苹果Safari浏览器存在漏洞的事实,似乎也并不令人特别惊讶。据VentureBeat报道,周四,Project Zero发布了一篇新博客,主要讲述苹果修复漏洞的方法,博客中还描述了一个有趣的发现:苹果在事件发生后悄然改变了其安全建议,Project Zero称这是“误导”,对macOS用户也有潜在的危险。
新博客的大部分内容都在讨论谷歌如何使用一个公开可用的工具,查找Safari中的可利用漏洞。Project Zero解释说,它在一年前用同样的工具找到了17个漏洞,今年又发现了9个,所有这些漏洞都是苹果在被告知后、在此博客发布前修复的。
不幸的是,研究人员表示,大多数新发现的bug都出现在Apple的WebKit代码库中,已经存在了大约6个月到一年的时间,如果没有谷歌的报告,这些bug(以及以前发现的bug)可能会存活更长时间。这为网络攻击者提供了明显的攻击窗口。Project Zero暗示,如果苹果使用了公开bug测试工具,那么这些漏洞可能在公布前就被发现了,而不是任由用户更容易受到攻击。
撇开bug不谈,Project Zero对苹果解决用户问题的方式表示担忧。值得称赞的是,苹果于2018年9月17日,完成了这9个漏洞的修复工作,同时发布了安全建议。在漏洞被爆出的3个月后,苹果更新了iOS 12、Safari和tvOS 12。但苹果的安全建议最初并未提及这些修复措施,实际上,在问题公布的一周后,苹果悄无声息地更改了原来的安全建议。
Project Zero推测,苹果这么做可能是有原因的,可能苹果不愿披露macOS中尚未修复的漏洞,但同时Project Zero在博客中表示:
“这种做法是有误导性的,因为对苹果安全建议感兴趣的用户也很可能只会读一次,当安全建议第一次发布时,用户得到的印象是:产品更新修复的缺陷和漏洞都比较少,也没有那么严重。但实际上,更新修复的漏洞数量要多得多而且更具严重性。
此外,苹果并未同时发布移动端和台式机操作系统修复程序,这可能会使台式机用户面临不必要的风险,因为攻击者可以对移动端更新中的补丁进行逆向工程,来攻击台式机用户。”
有人会认为谷歌的言论是来自竞争者的酸葡萄心理,因为苹果也曾在用户信任和隐私问题上挑衅竞争对手。但Project Zero的观点是公平的。安全性受损的操作系统版本、一系列的浏览器问题,使得苹果已为安全问题所困。在苹果的代码库中不难发现漏洞,而且还会有一些奇怪的问题在“修复”之后的版本中再次出现。更好的预发布调试机制以及更高的透明度可能会有助于苹果解决过去一年中一直困扰公司的问题。(马克克)