蘋果公司關(guān)于谷歌關(guān)于iOS安全漏洞的Project Zero報告的一些細節(jié)

谷歌的Project Zero上周分享了有關(guān)允許惡意網(wǎng)站訪問受害者手機的多個嚴重iOS漏洞的詳細信息。共有14個漏洞正在被利用，雖然這些漏洞現(xiàn)已得到修復(fù)，但一些安全漏洞被濫用了好幾年。

Apple今天回應(yīng)了Google的Project Zero博客文章，旨在解決客戶對所有事實的擔(dān)憂。

蘋果公司表示，這次襲擊是“狹隘的”，而不是如上所述對iPhone的廣泛利用。不到十幾個針對穆斯林的網(wǎng)站據(jù)Apple稱，受到了影響。此外，蘋果公司表示谷歌造成大規(guī)模剝削的錯誤印象，引起iPhone用戶的恐懼。

谷歌的攻擊時間也很長。蘋果表示，這些網(wǎng)站的運營時間大約為兩個月而不是兩年，而蘋果公司在了解這些網(wǎng)站10天后就已經(jīng)修復(fù)了漏洞。當谷歌接近蘋果時，修復(fù)工作已經(jīng)開始。

Apple的全信包括在下面：

上周，谷歌發(fā)布了一篇關(guān)于蘋果2月份為iOS用戶修復(fù)漏洞的博客。我們聽到了一些關(guān)注某些說法的客戶，我們希望確保所有客戶都了解事實。

首先，復(fù)雜的攻擊是狹隘的，而不是像所描述的那樣“集體”利用iPhone。該攻擊影響了不到十幾個專注于與維吾爾社區(qū)相關(guān)內(nèi)容的網(wǎng)站。無論攻擊規(guī)模如何，我們都非常重視所有用戶的安全。

谷歌的帖子是在iOS補丁發(fā)布六個月后發(fā)布的，它造成了“大規(guī)模開發(fā)”的錯誤印象，即“實時監(jiān)控整個群體的私人活動”，引起所有iPhone用戶對其設(shè)備遭到入侵的恐懼。從來沒有這種情況。

其次，所有證據(jù)表明，這些網(wǎng)站攻擊只能在短時間內(nèi)運行，大約兩個月，而不是谷歌暗示的“兩年”。我們在2月修復(fù)了有問題的漏洞 - 在我們了解它之后的10天內(nèi)非常迅速地解決了這個問題。當谷歌聯(lián)系我們時，我們已經(jīng)在修復(fù)被利用的漏洞。

安全是一個永無止境的旅程，我們的客戶可以確信我們正在為他們工作。iOS安全性是無與倫比的，因為我們對硬件和軟件的安全性負有端到端的責(zé)任。我們遍布全球的產(chǎn)品安全團隊不斷迭代，一經(jīng)發(fā)現(xiàn)就會引入新的保護措施并修補漏洞。我們永遠不會停止我們的不懈工作，以確保我們的用戶安全。

根據(jù)Google的說法，針對iPhone用戶的相關(guān)網(wǎng)站能夠在訪問者訪問受感染的網(wǎng)站后，輕松地實時竊取私人數(shù)據(jù)，如郵件，照片和GPS位置。

谷歌相信數(shù)千名訪問者每兩年訪問這些網(wǎng)站兩年，iOS 10，iOS 11和iOS 12中存在漏洞。蘋果公司在2019

年2月回復(fù)了iOS 12.1.4中的問題。在向Verge發(fā)表的一份聲明中，谷歌表示，盡管有蘋果公司的評論，它還是支持其原始報告。

Project Zero發(fā)布技術(shù)研究，旨在促進對安全漏洞的理解，從而產(chǎn)生更好的防御策略。我們堅持深入研究，專注于這些漏洞的技術(shù)方面。我們將繼續(xù)與Apple和其他領(lǐng)先公司合作，幫助人們保持在線安全。