iPad隐私泄露引发政要隐私泄露的漏洞问题
点击数:4 更新时间:2024-04-22
奥恩海默表示,GoatseSecurity选择不直接与AT&T进行对话。他们等到确认AT&T网站的漏洞已经修补好后,才公布攻击的细节。他们只向GawkerMedia的塔特提供了信息,因为他答应会检查ICCID和e-mail,以防止被滥用。他们不想直接与AT&T接触,以免面临禁令或不利于他们的行动。
奥恩海默解释说,他们有另一个团队负责确保AT&T已经修补好漏洞,并防止其他人利用。他的任务是确认攻击程序的作者已经确认漏洞被封闭,然后公布数据和细节。这是他们公司的流程。
奥恩海默表示,GoatseSecurity的首要客户是他们非常重视的,但他们也非常关注公众利益。他们公开这个问题是因为公众有知情的权利。这个问题可能带来严重后果,特别是数据被盗和发动Safari攻击。他指出,目前还存在一些未修补的漏洞,如果有人获取到这些数据,就相当于有了一个可攻击的候选人名单,这是非常危险的。因此,他们认为有必要以这种方式告知公众。他们只向同意隐藏重要部分的记者提供数据,这是为了公众的最大利益。
奥恩海默表示,他们没有向Gawker支付任何费用。
奥恩海默认为,攻击指令有可能落入第三方手中,但他相信参与这次行动的每个人都非常负责,他没有理由怀疑他们。
奥恩海默解释说,他们其中一位成员使用了AT&T的安全维护程序,并发现普通用户经验中的某个部分可以用来获取数据。
奥恩海默表示,这种问题可能是普遍存在的。他对AT&T竟然存在这种问题感到震惊,尤其是在俄罗斯地下市场可能已经备好攻击码的情况下。
奥恩海默表示,ID验证码可以被用来执行锁定或控制设备的目标性攻击。虽然不是所有iPad用户都会受到影响,但理论上有可能。
奥恩海默认为,真正的威胁是通过e-mail附件传送的攻击码。只需要更换新的e-mail即可解决这个问题。他认为苹果应该对电信商的安全防护进行评估,他们也许应该进行业务稽核评估和网络应用程序审核。但他认为大部分责任在AT&T。
奥恩海默解释说,GoatseSecurity是一家为企业测试安全防护的顾问公司。他们接受多方的咨询,对新工作保持开放,同时进行有趣的研究。他们有一支由一些世界上最聪明的人组成的团队。
奥恩海默表示,GoatseSecurity有9个核心成员和一些承包商。他们没有任何基地,大家都在自己的家里工作,分散在不同地方。
奥恩海默表示,他不认为公司名字会损害他们的信誉和名声。他们的研究成果可以证明一切。他们只会与那些能接受他们的发言并以文明方式对待他们的人合作。
奥恩海默解释说,是否公开工作取决于成本效益分析。在某些情况下,不公开可能更有利,特别是为了客户或某人的利益。他们的客户是最重要的,除此之外,他们会把公众放在第一位。但每件事都有价值,道德揭露当然也有代价。他们绝不会让研究流入地下市场或坏人的手中。
奥恩海默表示,《纽约时报》的报道充满了胡言乱语,编造了很多故事。他们的研究成果可以证明一切。如果有人无法以文明的方式接受他们的发言,那他们也不想为那些人工作。
奥恩海默认为,苹果的使用者可能会感到梦幻破灭。随着苹果使用者成为数量更可观的少数,他们对安全防护的不实幻想也将破灭。他建议用户采取自我保护的措施,对过去可能忽视的事情给予重视。