圖：iOS上的Safari瀏覽器上，Google AMP頁面顯示在Google搜索中。

日前，谷歌創(chuàng)建了自己的Project Zero團(tuán)隊，來改善包括谷歌和第三方產(chǎn)品在內(nèi)的互聯(lián)網(wǎng)安全，該團(tuán)隊甚至被稱為谷歌內(nèi)部的超級黑客團(tuán)隊、網(wǎng)絡(luò)世界的“孤膽英雄”。因此該團(tuán)隊研究人員發(fā)現(xiàn)蘋果Safari瀏覽器存在漏洞的事實，似乎也并不令人特別驚訝。據(jù)VentureBeat報道，周四，Project Zero發(fā)布了一篇新博客，主要講述蘋果修復(fù)漏洞的方法，博客中還描述了一個有趣的發(fā)現(xiàn)：蘋果在事件發(fā)生后悄然改變了其安全建議，Project Zero稱這是“誤導(dǎo)”，對macOS用戶也有潛在的危險。

新博客的大部分內(nèi)容都在討論谷歌如何使用一個公開可用的工具，查找Safari中的可利用漏洞。Project Zero解釋說，它在一年前用同樣的工具找到了17個漏洞，今年又發(fā)現(xiàn)了9個，所有這些漏洞都是蘋果在被告知后、在此博客發(fā)布前修復(fù)的。

不幸的是，研究人員表示，大多數(shù)新發(fā)現(xiàn)的bug都出現(xiàn)在Apple的WebKit代碼庫中，已經(jīng)存在了大約6個月到一年的時間，如果沒有谷歌的報告，這些bug(以及以前發(fā)現(xiàn)的bug)可能會存活更長時間。這為網(wǎng)絡(luò)攻擊者提供了明顯的攻擊窗口。Project Zero暗示，如果蘋果使用了公開bug測試工具，那么這些漏洞可能在公布前就被發(fā)現(xiàn)了，而不是任由用戶更容易受到攻擊。

撇開bug不談，Project Zero對蘋果解決用戶問題的方式表示擔(dān)憂。值得稱贊的是，蘋果于2018年9月17日，完成了這9個漏洞的修復(fù)工作，同時發(fā)布了安全建議。在漏洞被爆出的3個月后，蘋果更新了iOS 12、Safari和tvOS 12。但蘋果的安全建議最初并未提及這些修復(fù)措施，實際上，在問題公布的一周后，蘋果悄無聲息地更改了原來的安全建議。

Project Zero推測，蘋果這么做可能是有原因的，可能蘋果不愿披露macOS中尚未修復(fù)的漏洞，但同時Project Zero在博客中表示：

“這種做法是有誤導(dǎo)性的，因為對蘋果安全建議感興趣的用戶也很可能只會讀一次，當(dāng)安全建議第一次發(fā)布時，用戶得到的印象是：產(chǎn)品更新修復(fù)的缺陷和漏洞都比較少，也沒有那么嚴(yán)重。但實際上，更新修復(fù)的漏洞數(shù)量要多得多而且更具嚴(yán)重性。

此外，蘋果并未同時發(fā)布移動端和臺式機操作系統(tǒng)修復(fù)程序，這可能會使臺式機用戶面臨不必要的風(fēng)險，因為攻擊者可以對移動端更新中的補丁進(jìn)行逆向工程，來攻擊臺式機用戶。”

有人會認(rèn)為谷歌的言論是來自競爭者的酸葡萄心理，因為蘋果也曾在用戶信任和隱私問題上挑釁競爭對手。但Project Zero的觀點是公平的。安全性受損的操作系統(tǒng)版本、一系列的瀏覽器問題，使得蘋果已為安全問題所困。在蘋果的代碼庫中不難發(fā)現(xiàn)漏洞，而且還會有一些奇怪的問題在“修復(fù)”之后的版本中再次出現(xiàn)。更好的預(yù)發(fā)布調(diào)試機制以及更高的透明度可能會有助于蘋果解決過去一年中一直困擾公司的問題。