macOS安全問題凸顯，但蘋果並沒有重視

在二月六日的時候一位來自德國的安全研究員向公眾展示了通過macOS的系統漏洞訪問系統內保存密碼證書的鑰匙串應用，但是並沒有向蘋果反饋具體細節。但在考慮到這個漏洞帶來的嚴重後果，在二月二十八日他決定向蘋果免費反饋漏洞補丁和所有細節。無獨有偶，在近日谷歌的Project Zero團隊也公布了一個涉及到macOS系統上掛載磁碟鏡像的寫入時拷貝漏洞。這個漏洞源於macOS系統在管理內存時能夠自動創建複製數據的副本。這意味著可以修改任何掛載在macOS系統上的磁碟鏡像。而Project Zero團隊的政策是為存在漏洞產品的公司提供90天的時間用來修復。

但是蘋果到目前並沒有修復這兩個漏洞，這也引發了公眾對蘋果態度的批評。而蘋果公司為提高產品的安全性，已在2016年就推出了漏洞賞金計劃，但是在整個計劃的運作上並不積極。蘋果最近一直在非常被動的接受漏洞的反饋，在修復是也不夠積極。在一月時就出現過FaceTime視頻聊天的漏洞，但是蘋果並沒有第一時間響應，而是等到問題擴大後才發現漏洞的嚴重性，然後才提供一個補丁來修補這個漏洞，同時為漏洞的發現者提供一定的獎勵。

雖然蘋果提供的獎勵很豐厚，但是他們也在考慮所有的風險。所以在會造成鑰匙串泄露的漏洞發現者，因為後果嚴重性考慮而自願免費為蘋果提供詳細細節而得不到任何獎勵。好消息是，蘋果將開始重視這個問題。雖然鑰匙串漏洞還沒有具體修復時間，但是蘋果已經在與Project Zero團隊合作評估如何進行修復，並打算在未來的系統版本中解決寫入時拷貝的漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！