作者kouta (ΦωΦ)
看板Sub_DigiTech
标题Fw: [讨论] 苹果发文反击谷哥:别在那边夸大其词带
时间Fri Sep 13 05:37:23 2019
※ [本文转录自 MobileComm 看板 #1TT7nZ15 ]
作者: ReDmango (不要趁我被停权乱开战R) 看板: MobileComm
标题: Re: [讨论] 苹果发文反击谷哥:别在那边夸大其词带
时间: Sun Sep 8 11:58:18 2019
※ 引述《kouta (ΦωΦ)》之铭言:
统整一下苹果说了啥
First, the sophisticated attack was narrowly focused, not a broad-based exploit
of iPhones “en masse” as described. The attack affected fewer than a dozen
websites that focus on content related to the Uighur community. Regardless of
the scale of the attack, we take the safety and security of all users extremely
seriously.
一、苹果判断此攻击「只」针对十几个维吾尔族社群。
Second, all evidence indicates that these website attacks were only operational
for a brief period, roughly two months, not “two years” as Google implies.
We fixed the vulnerabilities in question in February — working extremely
quickly to resolve the issue just 10 days after we learned about it. When
Google approached us, we were already in the process of fixing the exploited
bugs.
二、苹果判断此攻击只「运作」「短暂的」两个月。
喔对了
Last week, Google published a blog about vulnerabilities that Apple fixed for
iOS users in February. We’ve heard from customers who were concerned by some
of the claims, and we want to make sure all of our customers have the facts.
苹果说Google刊登了一个漏洞,但实际上这个漏洞并不是Google刊登的,
而是Project Zero刊登的,Project Zero是Google挂名赞助的0-day资安团队,
完全独立於Google营运团队外部,执行内容是找出所有平台的0-day漏洞,
去年让全世界震惊的meltdown就是他们找出来的。
Project Zero会通知找出漏洞的软硬体厂商,等到厂商洞补好了,或六个月後才会
将详细资讯公开,目的是为了防堵同样的洞在其他厂商身上发生。
所以你可以看到,Project Zero公布的资讯绝对不会是苹果所说
「iOS有个长达两年可以攻击你的漏洞」来的如此简单。
Project Zero这次公布了五个chain,涵盖范围从iOS 10.0.1到iOS 12.1.2,
单纯看到这里,你就会知道某K所说的「这漏洞只有两个月」有问题,
连苹果的原文都只敢说"only operational for a brief period"。
--五个chain分别影响的iOS版本:
https://i.imgur.com/puDleja.png
只看chain 1的文章就好
https://tinyurl.com/y64xozkt
单chain 1就写了6650个字,超过1107行,详细的告诉你弱点在哪,
让你知道可以如何防护,如何预防,如何改进。
chain 2:
https://tinyurl.com/y4mbpjkw
chain 3:
https://tinyurl.com/y2tdzk9a
chain 4:
https://tinyurl.com/y65xf56x
chain 5:
https://tinyurl.com/y6bjvwjf
结果苹果用5行共267个字来说,没事儿没事儿,
我们判断只有两个月,而且只有维吾尔十几个群体受害而已啦ㄏㄏ。
毕竟都有云上贵州了,监控维吾尔人日常生活真的没啥。
维吾尔人:「大不了我不用iCloud,不用被贵州监控。」
Project Zero:「以下是五个在监控你们的漏洞。」
维吾尔人:「干。」
苹果:「只有维吾尔人被监控,大家不要担心。」
维吾尔人:「干。」
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 58.114.25.142 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1567915107.A.045.html
※ 编辑: ReDmango (58.114.25.142 台湾), 09/08/2019 12:03:49
1F:推 abadjoke : 没事 苹果卖那麽贵就是因为它很安全 再涨 09/08 12:06
2F:→ ZnOnZ : Google暗示两年,Apple说大约两个月 09/08 12:13
3F:→ ZnOnZ : “某K说的两个月”是哪段?眼睛??? 09/08 12:13
4F:→ ZnOnZ : 哎唷喂呀我业障重,原来是2月已经被修复的漏洞 09/08 12:15
5F:→ sam613 : 没射没射,没有漏洞,没有攻击,非常和谐 09/08 12:20
6F:推 hohiyan : 这次反应这麽激烈大概就是媒体报导了中共用这漏洞来 09/08 12:39
7F:推 doom3 : 就 漏洞有两年了跟用漏洞架网站攻击了两个月 09/08 12:39
8F:→ hohiyan : 监控。Apple现在很需要中国市场来撑一下帐面数字 09/08 12:40
9F:→ hohiyan : 加上Apple过去碰到中共膝盖就软下来的纪录,这次当 09/08 12:40
10F:→ hohiyan : 然後想办法赶快洗白自己一下... 09/08 12:41
11F:推 l11k755013 : Project Zero就是属於白帽类群的人,找到漏洞,然 09/08 12:41
12F:→ l11k755013 : 後提供给企业或是该设计者,之後才会公布漏洞内容 09/08 12:42
13F:→ l11k755013 : 。并没有利用这些漏洞去图利什麽或犯法滥用。我无 09/08 12:42
14F:→ l11k755013 : 法理解这种有益社会科技推动的团队跟人,怎麽会被 09/08 12:42
15F:→ l11k755013 : 人描述的如此这般。唯一能想到的只有他们阻挡了某 09/08 12:42
16F:→ l11k755013 : 些的财路。 09/08 12:42
17F:推 l11k755013 : 啊啊啊啊,我忘了,当初Steve Jobs 和Steve Wozni 09/08 12:48
18F:→ l11k755013 : ak就是黑帽起家的,看来苹果骨子里的血缘注定如此 09/08 12:48
19F:→ l11k755013 : 吧,难怪没有不作恶这项。 09/08 12:48
20F:推 kai08130623 : 你别这样阿!等等他反手去检举板铺天盖地检举你 09/08 12:52
21F:推 bighead50405: 没事没事,导正板上风气才是重点呢 09/08 12:57
22F:推 x52013 : 维族人都被关在集中营里面,iPhone有没有漏洞影响应 09/08 13:46
23F:→ x52013 : 该不太大,毕竟集中营里面能用iPhone吗? 09/08 13:46
24F:推 abelyi100 : 感谢,学到知识了 09/08 13:47
25F:推 jhangyu : 没事没事,苹果说他们安全就是很安全 09/08 13:48
26F:→ jhangyu : 0day团队不要打扰皇城的和气 09/08 13:48
27F:推 ajim36 : 有漏洞屁话还能那麽多 强 09/08 13:52
28F:推 WLR : 维吾尔人,惨 09/08 14:22
29F:推 AJizzInPants: 说到维吾尔会有人不开心喔 什麽集中营都是假新闻啦 09/08 14:47
30F:推 hms5232 : 我看维基百科上怎麽都说Project Zero是Google的 09/08 14:48
31F:→ hms5232 : 到底是苹果乱讲还是我中文英文维基百科都看错了 09/08 14:48
32F:推 howiekuohr : 有趣 09/08 15:29
33F:推 sincere77 : 果粉唯一能说的资安都没了QQ 09/08 15:31
34F:推 ankala : Playstore毒窟先搞好吧 笑死 09/08 15:39
35F:推 wenli978 : 这种一边说最注重隐私一边又把资料交给中国政府的 09/08 16:11
36F:→ wenli978 : 干话王厨师怎麽信.... 09/08 16:11
37F:推 tom282f3 : 不只维基呢 Project Zero官方部落格都写 09/08 16:18
38F:→ tom282f3 : "Project Zero team at Google"了 09/08 16:18
39F:→ tom282f3 : 甚至网址就叫googleprojectzero了 09/08 16:18
40F:推 ZnOnZ : 挂名啦赞助啦 09/08 16:54
41F:推 sunskist0831: 没事儿 觉得苹果不好 手机转过来摸摸LOGO 09/08 16:58
42F:嘘 kouta : 蛤?我说? 09/08 17:17
43F:→ kouta : 我又不是网站作者 hello? 09/08 17:17
44F:→ kouta : 还帮切割说不是 google XD 09/08 17:18
45F:→ kouta : 而且又有人扯到检举 哈哈哈 真的很不舍欸 混乱到只 09/08 17:22
46F:→ kouta : 会离题 09/08 17:22
48F:→ kouta : htc现在部分血脉也是谷歌 你也要切割一下吗 09/08 17:38
49F:→ kouta : 要护航第一句就说错 後面还能看吗 wwww 09/08 17:39
50F:→ kouta : 开头都叫 Google 了 还说不是谷歌的 神切割 09/08 17:39
51F:→ ReDmango : 哀 缺乏中文适读能力 我也没办法 09/08 17:44
52F:推 s14545 : 结论就是长期有漏洞啊 到底是谁离题wwww 09/08 18:19
54F:→ ReDmango : literacy rate真低 出乎意料 09/08 20:55
55F:→ Mrchungken : 某k一贯套路 讲不赢跳针落跑检举 09/08 22:23
56F:推 lanszul : 标题呛Google不要夸大其词,事实就是存在iOS三版 09/09 10:01
57F:→ lanszul : 还硬要说漏洞被拿来利用只有两个月? 09/09 10:02
58F:推 tsming : 坳成这样有够难看 09/09 18:52
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: kouta (220.133.14.178 台湾), 09/13/2019 05:37:23