蘋果公司關(guān)于谷歌關(guān)于iOS安全漏洞的Project Zero報(bào)告的一些細(xì)節(jié)

谷歌的Project Zero上周分享了有關(guān)允許惡意網(wǎng)站訪問受害者手機(jī)的多個(gè)嚴(yán)重iOS漏洞的詳細(xì)信息。共有14個(gè)漏洞正在被利用，雖然這些漏洞現(xiàn)已得到修復(fù)，但一些安全漏洞被濫用了好幾年。

Apple今天回應(yīng)了Google的Project Zero博客文章，旨在解決客戶對所有事實(shí)的擔(dān)憂。

蘋果公司表示，這次襲擊是“狹隘的”，而不是如上所述對iPhone的廣泛利用。不到十幾個(gè)針對穆斯林的網(wǎng)站據(jù)Apple稱，受到了影響。此外，蘋果公司表示谷歌造成大規(guī)模剝削的錯(cuò)誤印象，引起iPhone用戶的恐懼。

谷歌的攻擊時(shí)間也很長。蘋果表示，這些網(wǎng)站的運(yùn)營時(shí)間大約為兩個(gè)月而不是兩年，而蘋果公司在了解這些網(wǎng)站10天后就已經(jīng)修復(fù)了漏洞。當(dāng)谷歌接近蘋果時(shí)，修復(fù)工作已經(jīng)開始。

Apple的全信包括在下面：

上周，谷歌發(fā)布了一篇關(guān)于蘋果2月份為iOS用戶修復(fù)漏洞的博客。我們聽到了一些關(guān)注某些說法的客戶，我們希望確保所有客戶都了解事實(shí)。

首先，復(fù)雜的攻擊是狹隘的，而不是像所描述的那樣“集體”利用iPhone。該攻擊影響了不到十幾個(gè)專注于與維吾爾社區(qū)相關(guān)內(nèi)容的網(wǎng)站。無論攻擊規(guī)模如何，我們都非常重視所有用戶的安全。

谷歌的帖子是在iOS補(bǔ)丁發(fā)布六個(gè)月后發(fā)布的，它造成了“大規(guī)模開發(fā)”的錯(cuò)誤印象，即“實(shí)時(shí)監(jiān)控整個(gè)群體的私人活動(dòng)”，引起所有iPhone用戶對其設(shè)備遭到入侵的恐懼。從來沒有這種情況。

其次，所有證據(jù)表明，這些網(wǎng)站攻擊只能在短時(shí)間內(nèi)運(yùn)行，大約兩個(gè)月，而不是谷歌暗示的“兩年”。我們在2月修復(fù)了有問題的漏洞 - 在我們了解它之后的10天內(nèi)非常迅速地解決了這個(gè)問題。當(dāng)谷歌聯(lián)系我們時(shí)，我們已經(jīng)在修復(fù)被利用的漏洞。

安全是一個(gè)永無止境的旅程，我們的客戶可以確信我們正在為他們工作。iOS安全性是無與倫比的，因?yàn)槲覀儗τ布蛙浖陌踩载?fù)有端到端的責(zé)任。我們遍布全球的產(chǎn)品安全團(tuán)隊(duì)不斷迭代，一經(jīng)發(fā)現(xiàn)就會(huì)引入新的保護(hù)措施并修補(bǔ)漏洞。我們永遠(yuǎn)不會(huì)停止我們的不懈工作，以確保我們的用戶安全。

根據(jù)Google的說法，針對iPhone用戶的相關(guān)網(wǎng)站能夠在訪問者訪問受感染的網(wǎng)站后，輕松地實(shí)時(shí)竊取私人數(shù)據(jù)，如郵件，照片和GPS位置。

谷歌相信數(shù)千名訪問者每兩年訪問這些網(wǎng)站兩年，iOS 10，iOS 11和iOS 12中存在漏洞。蘋果公司在2019

年2月回復(fù)了iOS 12.1.4中的問題。在向Verge發(fā)表的一份聲明中，谷歌表示，盡管有蘋果公司的評論，它還是支持其原始報(bào)告。

Project Zero發(fā)布技術(shù)研究，旨在促進(jìn)對安全漏洞的理解，從而產(chǎn)生更好的防御策略。我們堅(jiān)持深入研究，專注于這些漏洞的技術(shù)方面。我們將繼續(xù)與Apple和其他領(lǐng)先公司合作，幫助人們保持在線安全。