headless 曰く、

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明、 The Vergeの記事[1]、 [2]、 Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10～12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃がウイグル族をターゲットにしたもので、幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたのは12サイト未満であり、攻撃が行われていた期間もProject Zeroが主張する2年間ではなく、2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12の脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性に比肩するものはないなどとも主張している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。