媒体关注后 苹果公司承诺修复长期被忽视的家长控制漏洞
在《华尔街日报》的乔安娜-斯特恩(Joanna Stern)强调了 Safari 浏览器的一个漏洞之后,苹果公司最终将解决这个存在多年的限制性变通方法。被"屏幕时间"功能限制浏览某些网站的儿童可以在 Safari 的地址栏中粘贴一串字符,以绕过家长控制。
斯特恩在一篇关于"屏幕时间"的报道中说,她可以在儿子的iPad 上使用一串字符,绕过防止访问色情、暴力图片等网站的限制。她可以在运行 iOS 和 iPadOS 15、16 和 17 以及macOS Sonoma 的设备上绕过"屏幕时间"。
苹果公司在给斯特恩的一份声明中说,它意识到"开发人员的底层网络技术协议存在问题,允许用户绕过网络内容限制"。苹果计划在"下一次软件更新"中修复该问题。
接受 Stern 采访的安全研究人员表示,该漏洞最早是在 2021 年 3 月报告给苹果公司的,当时发现输入一串字符就可以绕过家长实施的网站限制和公司设备上的网络黑名单。黑客可以绕过 iPhone、iPad 和 Mac 上的限制。
苹果公司告诉研究人员这不是一个安全问题,并指示他们使用反馈工具提交报告。报告提交后,苹果公司没有任何回复。研究人员试图重新向苹果公司提交该漏洞,但没有得到任何回复。
苹果公司在长达三年的时间里一直忽视了这个问题,直到有人联系到 Stern 并公布了这个问题。由于发现该问题的两名安全研究人员从未分享过该解决方法,因此该解决方法似乎并不为人所知,也未被广泛利用。
除了承诺修复外,苹果还表示将致力于改进接收和升级错误报告的流程。
斯特恩的报告强调了"屏幕时间"的其他几个错误,包括应用程序限制、"屏幕时间"使用图表、更多时间通知和"要求购买"等问题。苹果在 iOS 17.5 中改进了"屏幕时间",对应用程序和设备使用跟踪、应用程序限制和时间请求进行了修复,但该公司表示在即将发布的软件版本中还会有更多更新。