吳明宜iPhone 被指為大規模監控工具,蘋果回應聲稱 Google 言過其實
上周 Google Project Zero 研究人員發佈報告,指有 iOS 裝置多項漏洞被用來進行大規模監控使用者,事主蘋果上周終於回應,說事情並沒那麼嚴重,只有十幾個維吾爾內容網站被攻擊而已。
Google 的研究指出,有多個網站被用來發動「無差別」水坑式攻擊,即在合法網站植入間諜程式,趁 iPhone 或 iPad 用戶造訪時下載到裝置上,以便存取用戶 iMessage 通訊內容、相片及 GPS 座標,目的在即時監控整個族群的隱私活動。這波攻擊是利用 iOS 14 項漏洞組成 5 種攻擊鏈(exploit chain),時間至少長達兩年。
至於大規模監控行動是針對什麼對象、由誰為之,Google 非常隱晦不願說明,不過包括 Techcrunch 引述消息來源指出,正是中國政府在背後支持對維吾爾族穆斯林進行的監控行為的一部份。
蘋果的聲明並未否認有惡意程式對 iPhone 進行攻擊,但表示範圍很小,並非 Google 所說的「大範圍」攻擊,影響「僅 10 多個和維吾爾族群有關的內容網站」。蘋果還說所有證據顯示,這些網站攻擊時間都很短,差不多僅兩個月而已,絕非 Google 聲稱的二年。早在二月時蘋果一得知後 10 天內,就以極快速度修補完所有漏洞。而且當 Google 通知時,蘋果早已動手修補中。
蘋果批評 Google 在該公司釋出 iOS 漏洞修補程式六個月發佈報告,根本是在製造「大規模攻擊」的不實觀感,企圖引起所有 iPhone 用戶手機被駭的恐慌。這家手機大廠最後還不忘強調 iOS 安全性業界無敵,因為蘋果對自家軟、硬體安全性負有端到端的責任,全球產品安全小組也不斷推出新防護,一發現漏洞就立刻修補,他們會努力不懈確保客戶安全。
不過這份說詞也引發安全專家批評蘋果的冷漠。例如 Alphabet 安全子公司 Chronicle 安全研究人員 Juan Andrés Guerrero-Saade 認為蘋果的意思是,這攻擊只是針對維吾爾人而已,大家不用擔心,蘋果也沒有什麼忠告給大家的,大家向前看吧。而加州大學柏克萊分校國際資管學院研究人員 Nicolas Weaver 也批評蘋果這幾年全力投入中國市場,因此這份聲明拒絕提及「是政府為少數民族進行種族清洗而對我們用戶進行的大規模駭客攻擊」之類的用語。
Wow @apple…
‘It didn’t happen the way they said it happened, but it happened, but it wasn’t that bad, and it’s just Uyghurs so you shouldn’t care anyways. No advice to give here. Just move along.’
— J. A. Guerrero-Saade (@juanandres_gs) 2019 年 9 月 6 日
Google 事後也發表聲明指出,Project Zero 投入技術研究,旨在推進安全漏洞的理解、健全防衛策略。Google 支持自家人撰寫這份著重漏洞技術剖析的深度研究,也會和蘋果及其他領導業者一同確保用戶上網安全。
有趣的是,Forbes 雜誌也報導,其實不只蘋果賣的產品,連 Google Android 裝置及 Windows PC 都在這波攻擊的範圍內,但是 Google 的報告並未提及這點。