谷歌為何放出iPhone漏洞報告？意在打擊蘋果隱私立場

北京時間8月31日上午消息，據美國財經媒體報道，谷歌于周四晚間發布了一份關于蘋果操作系統漏洞的深度研究匯編。

這個研究十分有趣且全面，但其中提到的漏洞對大多數iPhone用戶來說影響并不大。同時，在蘋果多次吹噓自己產品的隱私和安全性之后，谷歌恰巧可以利用這份匯編研究來公開擠兌蘋果。

該匯編研究不是針對一個“漏洞”，而是由谷歌的Project Zero發現的一系列相關漏洞或問題的集合，涉及谷歌的Project Zero研究人員在過去數年中進行的多個深度研究。很多情況下，這些漏洞在發現后即已經告知蘋果，并在后續的iOS版本中得到修復。

報告中的漏洞大多已經公開過。比如，一名來自移動安全應用公司360 Security的合作研究員，在2018年11月舉辦的公開黑客競爭中，因發現一個先前未知的漏洞，獲得20萬美元獎金。

Project Zero是谷歌的一個項目，意在尋找操作系統、軟件和硬件中的所謂的“零日漏洞”，“零日”即指公眾需要使用已知補丁來修補未知漏洞的天數。。

研究顯示，漏洞往往始于有針對性的“水坑攻擊”。對于這種攻擊方式，黑客通常先破壞一個目標人群常去的網站。用戶在訪問該問題網站之后，設備會感染惡意代碼，這種代碼可以用于各種目的。在這種情況下，這些惡意代碼主要用來監測用戶的iPhone活動。

目前尚不清楚黑客攻擊的成功率為多少。但是從研究中可以發現，有些漏洞已經在實驗室之外被觀察到。谷歌稱，這個問題或可已經影響上千臺設備，但不清楚是否有用戶直接受到這些漏洞的影響。

蘋果尚未發表回應。谷歌的報告包含至少自2014年以來已經提出的數個問題，因此蘋果或許需要對Project Zero的報告給予更細微的回答。鑒于蘋果向來標榜自己為最安全的手機制造商，蘋果的回應將耐人尋味。

很明顯，谷歌正在利用這份匯編的Project Zero研究來反擊蘋果的隱私營銷。“真實用戶根據對這些設備的安全性的公共認知來做出風險決策，”谷歌的報告寫道，“事實是，一旦你成為黑客攻擊的目標，安全保護措施永遠無法消除攻擊風險。”

直接被蘋果的隱私營銷活動針對以及被蘋果的高管“點名批評”的公司都曾采取了一系列措施予以反擊。前Facebook首席安全官亞歷克斯·斯塔莫斯（Alex Stamos）在Twitter上發表了對這一最新蘋果報道的看法：“這是谷歌團隊的重大發現。對這些網站的歸因分析非常有助于我們理解它們所能造成的影響。”谷歌的首席執行官桑達爾·皮猜（Sundar Pichai）也抨擊蘋果，曾表示“隱私不應成為奢侈品”。

對蘋果的隱私和安全抨擊將會越來越多。谷歌的研究十分可靠，但其中指出的漏洞對普通iPhone用戶的影響幾乎可以忽略不計。此外，大多數漏洞在iOS的頻繁更新中已經得到修復。但至少，谷歌的研究，將成為未來陸續針對蘋果的安全和隱私抨擊的一部分。