iPhone被指為大規模監控工具,蘋果回應聲稱Google言過其實

被競爭對手爆料軟體漏洞,任何人應該都很不高興吧?上周Google Project Zero研究人員發佈報告,指有iOS裝置多項漏洞被用來進行大規模監控使用者,事主蘋果上周終於回應,說事情並沒那麼嚴重,只有十幾個維吾爾內容網站被攻擊而已。

上周Google Project Zero研究人員發佈報告,指有iOS裝置多項漏洞被用來進行大規模監控使用者,事主蘋果上周終於回應,說事情並沒那麼嚴重,只有十幾個維吾爾內容網站被攻擊而已。

Google的研究指出,有多個網站被用來發動「無差別」水坑式攻擊,即在合法網站植入間諜程式,趁iPhone或iPad用戶造訪時下載到裝置上,以便存取用戶iMessage通訊內容、相片及GPS座標,目的在即時監控整個族群的隱私活動。這波攻擊是利用iOS 14項漏洞組成5種攻擊鏈(exploit chain),時間至少長達兩年。

至於大規模監控行動是針對什麼對象、由誰為之,Google非常隱晦不願說明,不過包括Techcrunch引述消息來源指出,正是中國政府在背後支持對維吾爾族穆斯林進行的監控行為的一部份。

蘋果的聲明並未否認有惡意程式對iPhone進行攻擊,但表示範圍很小,並非Google所說的「大範圍」攻擊,影響「僅10多個和維吾爾族群有關的內容網站」。蘋果還說所有證據顯示,這些網站攻擊時間都很短,差不多僅兩個月而已,絕非Google聲稱的二年。早在二月時蘋果一得知後10天內,就以極快速度修補完所有漏洞。而且當Google通知時,蘋果早已動手修補中。

蘋果批評Google在該公司釋出iOS漏洞修補程式六個月發佈報告,根本是在製造「大規模攻擊」的不實觀感,企圖引起所有iPhone用戶手機被駭的恐慌。這家手機大廠最後還不忘強調iOS安全性業界無敵,因為蘋果對自家軟、硬體安全性負有端到端的責任,全球產品安全小組也不斷推出新防護,一發現漏洞就立刻修補,他們會努力不懈確保客戶安全。

不過這份說詞也引發安全專家批評蘋果的冷漠。例如Alphabet安全子公司Chronicle安全研究人員Juan Andrés Guerrero-Saade認為蘋果的意思是,這攻擊只是針對維吾爾人而已,大家不用擔心,蘋果也沒有什麼忠告給大家的,大家向前看吧。而加州大學柏克萊分校國際資管學院研究人員Nicolas Weaver也批評蘋果這幾年全力投入中國市場,因此這份聲明拒絕提及「是政府為少數民族進行種族清洗而對我們用戶進行的大規模駭客攻擊」之類的用語。

Google事後也發表聲明指出,Project Zero投入技術研究,旨在推進安全漏洞的理解、健全防衛策略。Google支持自家人撰寫這份著重漏洞技術剖析的深度研究,也會和蘋果及其他領導業者一同確保用戶上網安全。

有趣的是,Forbes雜誌也報導,其實不只蘋果賣的產品,連Google Android裝置及Windows PC都在這波攻擊的範圍內,但是Google的報告並未提及這點。

來源:Ars Technica, The Verge

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416