主页 / 领域 > 时尚 > 正文

谷歌曝苹果浏览器安全漏洞 指已修复说法不实

2020-01-24 01:12:22   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:谷歌Chrome浏览器工程总监Justin Schuh在Twitter上表示尽管苹果声称该漏洞已经修复,但实际情况并非如此。苹果这些隐私漏洞比本应阻止的跟踪类型要严重地多。

  谷歌与苹果,在新年伊始又掐起来了。

  美国当地时间1月22日,据《金融时报》援引谷歌即将发表的论文称,谷歌研究人员在苹果公司的Safari网络浏览器中发现了多个安全漏洞,这些漏洞可以跟踪用户的浏览行为。

  报告指出,苹果Safari Web浏览器上的“智能跟踪预防”功能(旨在阻止数字广告客户使用的跟踪软件)可能被滥用,该工具可能已使第三方获得有关用户浏览习惯的敏感信息。

  报告称,谷歌去年8月向苹果披露了这些缺陷。苹果工程师在12月的一篇博客文章中说,该公司已修复了Google研究人员向其披露的缺陷,并感谢谷歌的帮助。

  但谷歌这篇论文得出的结论是,苹果公司低估了该漏洞造成的问题。随着时间的推移,苹果为每个网络用户创建独特的cookie阻止算法可用于识别和跟踪用户。谷歌Chrome浏览器工程总监Justin Schuh在Twitter上表示尽管苹果声称该漏洞已经修复,但实际情况并非如此。苹果这些隐私漏洞比本应阻止的跟踪类型要严重地多。

  从本质上说,苹果智能跟踪预防平台中的安全漏洞反而使用户容易受到跟踪,这与该功能的初衷截然相反。看过这篇论文的独立安全研究员Lukasz Olejnik说:“你不能指望增强隐私的技术会带来隐私安全。如果漏洞被利用,它们将允许未经批准和无法控制的用户跟踪。”

  这并不是苹果和谷歌第一次就用户隐私问题发生冲突。

  谷歌的Chrome和苹果的Safari是最受欢迎的两种网络浏览器,虽然Chrome总体上被更多的人使用,但Safari在iPhone上占主导地位。

  在安全性和隐私性方面,大多数用户对苹果的信任程度要远胜于谷歌。正如网络专家Mike Thompson所说,“苹果在推动平台和个人安全性方面的努力比其他任何供应商都多。”

  在今年年初CES关于“用户隐私”话题的论坛中,苹果全球隐私高级总监Jane Horvath 表示:“苹果的每一款产品在设计之初,就有专门的律师团队与工程师一起讨论,目的是让数据的控制权彻底交还至用户。”

  为此苹果做出了一系列举措。在移动操作系统iOS13不断升级换代的过程中,苹果加强了用户对个人隐私的控制权。当软件在后台调用用户地理位置时,会发送通知;第三方软件无法再通过Wi-Fi 或蓝牙三角定位推测用户的地理位置;地理位置权限可设为一次性的,当软件下一次获取地理位置时需要用户再次授权;iMessage上的信息被分成“已知联系人”和“不在通信录”,还新增了垃圾短信过滤功能。

  “在2020年,隐私不能再是一种奢侈品。”面对用户隐私越来越受到重视的今天,谷歌CEO皮查伊在近日的达沃斯世界经济论坛上再次强调了今年做好隐私保护工作的决心。并提出通过人工智能技术来改善隐私问题。

  在去年的第11届Google I/O2019开发者大会上,谷歌就隐私保护问题提到了此前谷歌研发的混合学习(Federated Learning)技术。这种技术使得AI模型可以直接放在手机上训练,无需将手机中的数据上传到云端,在保护信息隐私的同时,还能持续优化AI模型,推进技术的边界。

  皮查伊会后在《纽约时报》专栏中表示,谷歌的核心理念是为每个用户服务,不管身处何种阶层或者从事何种工作,都能够享受到谷歌提供的相同搜索体验。隐私服务也一样,不该只面向有高端产品购买力的人群,而是应该平等地提供给每个人。(36氪)
 

  链接+

  谷歌研究者:苹果Safari浏览器中曾有多个安全漏洞

  谷歌的研究者披露了苹果Safari浏览器中的多个安全漏洞,这些漏洞让用户的浏览习惯能够被跟踪。颇为讽刺的是,这些漏洞是在苹果重点推出的“智能反追踪”(Intelligent Tracking Prevention)功能中发现,它原本是为了保护用户隐私而设计。

  据英国金融时报1月23日报道,这些漏洞由谷歌在2019年8月发现。在一篇论文中,谷歌云团队的研究人员发现了漏洞可能引发的五种不同类型的潜在攻击,允许第三方能够获取“用户浏览习惯的私人敏感信息”。

  看过上述论文的独立安全研究员Lukasz Olejnik说:“你不会希望一个增强隐私的技术暴露给隐私风险。如果被利用,这些漏洞可能导致未经批准且无法控制的用户跟踪。”

  Olejnik还称,“尽管这种隐私漏洞如今非常罕见,但旨在改善隐私的机制中出现这些问题是出乎意料的,并且是高度不符合直觉的。”

  2017年,苹果首次推出了智能反追踪功能,其主要目的是保护Safari浏览器用户免受广告商和第三方cookies的追踪。隐私倡导者将这一工具视为网络浏览器增强隐私保护的先驱,迫使包括谷歌Chrome浏览器在内的竞争者也增强他们的追踪控件。

  “与其他方法不同,ITP(智能反追踪)的算法是运行在设备上的,这让监测用户行为和自动学习它们成为可能。”Olejnik说:“但这个专门为了用户的设计也成为了信息泄露的部分可能风险。”

  根据谷歌研究员的说法,这些漏洞使个人数据暴露,“因为ITP列表隐式存储了用户访问网站的信息。”

  研究人员还发现了一个漏洞,该漏洞可使黑客“创建一个永久的指纹在互联网上跟踪用户”,让其他人能够得知单个用户在搜索引擎页面搜索的内容。

  2019年12月,苹果处理了安全漏洞,但没有披露任何细节。当时,隐私工程师John Wilander发表了一篇博客文章,介绍了其浏览器软件的安全更新,文章中他感谢谷歌的研究员“发给我们一篇报告,其中它们发现了当网页内容通过反追踪功能被不当处理的监测能力,和这种监测可能导致的不良后果”。

  Wilander还补充道:“他们负责的披露做法让我们能够设计并测试上述更改。”

  苹果公司证实,他们已经修补了谷歌2019年报告的问题。(澎湃新闻)

分享到:
责任编辑:admin

网友评论