ADVERTISEMENT
微軟和 Google 的關係在近幾日,原因在於,Google 披露了一個 Windows 8.1 的安全性漏洞,而微軟還未對此做出更新。Google 旗下的 Project Zero 專案小組上周公佈了微軟 Windows 8.1 的一個漏洞,該漏洞能允許使用者將一般帳號的使用者,透過漏洞成為系統管理員,從而得以瀏覽電腦內的敏感性資料。
其實,Project Zero 很早就發現了該漏洞,並且早在 2014 年 10 月 31 日告知了微軟。按照 Project Zero 的說法,如果告知後 90 天內微軟沒有做出修復,該漏洞就會被公開。
ADVERTISEMENT
Google 在去年 7 月宣佈 Project Zero 計畫,它由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有Internet使用者的安全。這個小組主要針對零日漏洞(zero-day)而成立。零日漏洞是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而使用者無法及時得到對應的安全更新。
而就在Windows 8.1 的漏洞被披露後,微軟表示,1 月 13 日是微軟的系統更新發佈日,微軟也曾要求 Google 在這個日子之前不公開這個漏洞。但是,Google 在該日期前兩天公開了漏洞細節。
Project Zero 的使命是保護網路的安全,但微軟認為它並不友好。微軟安全回應中心高級總監 Chris Betz 在說,修復漏洞是複雜而耗時的,不是每一個漏洞都能在 90 天之內得以解決。
ADVERTISEMENT
「Google 的做法是基於他們的「原則」,而不是使用者的安全,我們強烈呼籲 Google 以保護我們共同的使用者為目標。」
Project Zero 的前世今生
Project Zero 計畫由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有網路使用者的安全。
ADVERTISEMENT
Project Zero 的前身是 Google 的「兼職」研究團隊,來研究一些網路安全問題。之前的成果包括發現了 Heartbleed 漏洞、幫助蘋果修復安全缺陷。
Project Zero 主要針對零日漏洞(zero-day)。零日漏洞是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而用戶無法及時得到對應的更新。因而,駭客會利用零日漏洞,對人權主義人士、企業、政府的網站發起攻擊。也有駭客以此從事間諜活動、竊聽通信資訊、竊取信用卡資訊等。
Project Zero 要做的,就是發現、圍堵、修正這些漏洞。比較有意思的是,Project Zero 不止是為 Google 的產品提供解決方案,而是針對所有網路上的服務。Project Zero 還將創建一個公共資料庫,零日漏洞將被首先報告給軟體廠商。Project Zero 希望「盡可能早地」向軟體廠商通報並合作開發更新。
ADVERTISEMENT
Google 為什麼要做 Project Zero
為什麼 Google 要高薪聘請駭客來給其他公司找漏洞呢?高薪聘請駭客有著長遠的戰略性意義——Google 為他們提供誘人的薪水、很少限制的工作環境,而他們為 Google 帶來更多的靈感和人才,今後他們也許會被派遣到其他團隊。
Google 還認為,建立起網路用戶的安全信心,可以帶來更多的廣告點擊率,對他們並沒有壞處。
和其他公司一樣,Google 已經這樣做了數年了——高價懸賞「友好」的駭客,來尋求告知產品的漏洞。但是一直尋找自家的軟體遠遠不夠:比如 Chrome 流覽器的安全性往往取決於協力廠商的程式,比如 Adobe Flash、相關的 Windows、Mac、Linux 作業系統的元素。
如此看來,Google 似乎在做一項沒什麼實質回報、目標遠大的正義之舉。全世界有那麼多的漏洞等待被發現和修復,Google 的這個小團隊似乎也沒有辦法「拯救世界」,因而 Project Zero在很多廠商眼裡看來,更像是一場行銷活動。
ADVERTISEMENT