蘋(píng)果公司將谷歌Project Zero歸咎于iOS安全聲明

谷歌的Project Zero團(tuán)隊(duì) 在過(guò)去一年中指責(zé)蘋(píng)果公司安全措施松懈或?qū)ζ浒踩ㄗh進(jìn)行偷偷摸摸的更新時(shí)并不害羞，最近聲稱蘋(píng)果公司主張 iOS主要漏洞，黑客攻擊中國(guó)的維吾爾族穆斯林社區(qū)。蘋(píng)果公司今天在一份罕見(jiàn)的聲明中回?fù)?，指?zé)谷歌制造了一種“錯(cuò)誤的印象”，引發(fā)了人們對(duì)iPhone安全性普遍擴(kuò)大妥協(xié)的擔(dān)憂。

雖然這些漏洞的技術(shù)細(xì)節(jié)很復(fù)雜，但谷歌的指控是在iOS 10,11和12中發(fā)現(xiàn)漏洞，“這表明一個(gè)團(tuán)隊(duì)在至少一段時(shí)間內(nèi)持續(xù)努力攻擊某些社區(qū)的iPhone用戶“零點(diǎn)計(jì)劃”沒(méi)有說(shuō)出目標(biāo)社區(qū)的名稱，但后來(lái)的報(bào)道稱他們主要是維吾爾族穆斯林，這是一個(gè)被中國(guó)政府瞄準(zhǔn)的群體，以及可能無(wú)意中被吸引到黑客中的其他用戶。

谷歌的最新指控尤其不尋常，因?yàn)樗麄冊(cè)谙蛱O(píng)果公司報(bào)告漏洞并解決了大約半年之后。雖然安全漏洞的發(fā)現(xiàn)，修補(bǔ)和公開(kāi)披露之間經(jīng)常存在滯后，但在Project Zero與Apple聯(lián)系的10天內(nèi)，這一特定漏洞集合得到了解決 - 只要蘋(píng)果公司被指控參與攻擊，過(guò)去。

蘋(píng)果公司今天發(fā)表的聲明稱這次攻擊雖然復(fù)雜但卻很狹隘，影響了不到十幾個(gè)維吾爾族網(wǎng)站，而且很可能活動(dòng)了大約兩個(gè)月而不是兩年。換句話說(shuō)，盡管這些漏洞可能影響了iOS發(fā)布的兩年(和三代)，但實(shí)際的網(wǎng)站攻擊本質(zhì)上更為簡(jiǎn)潔。正如Apple所說(shuō)

該公司表示，大多數(shù)用戶不應(yīng)該擔(dān)心iPhone的弱點(diǎn)。“iOS安全性是無(wú)與倫比的，因?yàn)槲覀儗?duì)我們的硬件和軟件的安全性采取端到端的責(zé)任，”暗示谷歌基于軟件的Android工作，使其他公司微調(diào)Android硬件設(shè)計(jì)。“我們將永遠(yuǎn)不會(huì)停止我們的不懈工作，以確保我們的用戶安全。

雖然Project Zero的博客文章專注于iOS中的漏洞，但很快就發(fā)現(xiàn)Apple并不是唯一受攻擊攻擊的公司。谷歌自己的Android平臺(tái)和微軟的Windows都有自己的漏洞，使攻擊者能夠收集訪問(wèn)11個(gè)不同維吾爾站點(diǎn)的用戶的設(shè)備識(shí)別號(hào)碼，電話號(hào)碼，位置，用戶名和其他私人信息，包括突厥斯坦電視臺(tái)，維吾爾時(shí)報(bào)和突厥斯坦出版社 目前還不清楚黑客是否是正式的中國(guó)國(guó)家贊助，但中國(guó)政府多年來(lái)一直積極監(jiān)視和迫害少數(shù)群體，增加了至少非官方政府參與黑客攻擊的可能性。