苹果FaceTime功能允许来电者窃听来电接受者的一个主要缺陷昨天被广泛公布，这一缺陷可能已被引入近三个月。在科技巨头中，苹果公司强调自己是注重隐私的成年人，它通常采取严格的安全措施和细致的方法来寻找漏洞。那么在这种情况下，为什么苹果在上市前没有发现这样一个重大缺陷呢？

部分问题在于该功能本身的粗略历史。该漏洞与FaceTime的新群聊功能有关，苹果从后来的iOS 12 Beta中删除了该功能，并将的发布推迟到今年10月。三个月对于一个如此糟糕的bug来说是很长的一段时间，但这也意味着用户没有太多时间去发现这种奇怪的行为(苹果公司已经取消了群组FaceTime功能，等待补丁。我们已经联系苹果公司征求意见，询问他们何时以及如何第一次听到这个bug，或者团队是否独立发现了它。）

另一个问题是bug的性质，这使得它超出了常规bug测试的范围。Rendition Infosec的创始人杰克·威廉姆斯（Jake Williams）表示，最基本的bug测试形式是一个称为“模糊化”的自动化过程，他说，这包括发送一个格式不正确的输入，以查看系统是否出现故障（例如，**一个20个字符的密码，而不是最多15个字符的密码）。但是FaceTime bug处理的是一系列不寻常的UI操作，而不是一个特定的输入，因此它会在未被注意的情况下通过模糊测试。

该缺陷更有可能出现在质量保证测试中，该测试涉及真实用户的真实使用示例。但是，在与他人通话后拨打自己的电话号码相对较少，因此可能很容易就漏掉了。威廉姆斯并不惊讶于一个随机的人在苹果的实际安全团队之前发现了它。

他说：“我想这就是臭虫走出家门的原因。”这些年来，我们看到了很多这样的情况，你退后一步，你会想，‘哇，这是如何通过测试的？’但当你思考时，你会想，‘这是一个边缘场景，为什么有人会测试它？这是一个奇怪的逻辑错误。”

Luta security的首席执行官兼创始人凯蒂·穆苏里斯（Katie Moussouris）表示，苹果的安全团队可能不应受到指责。相反，这个问题可能与苹果对公众bug报告的反应有关。她指出，在《福布斯2000》中，有6%的公司有公开的漏洞报告方法，苹果公司就是其中之一。

她说：“我认为他们错过的是一个培训他们的支持人员和社交媒体工作人员的机会，让他们能够将安全漏洞或潜在的安全漏洞快速传递给正确的团队。”。

这只虫子显然是一个好奇的少年在它公开前八天报告的。这名青少年的母亲说，她通过苹果支持部门报告了该漏洞，当她没有收到回复时，她通过电子邮件和传真向苹果公司发出了正式通知。Moussouris推测，苹果可能看到了这些报道，但专注于调查漏洞并试图重现它，而不是与记者建立联系。

她说：“这是一位试图报告严重的安全和隐私漏洞的公众，他们一开始很难找到合适的联系人。”所以对他们来说，苹果就像一个没有反应的黑匣子，因为他们已经尝试了所有这些似乎合乎逻辑的渠道。我认为苹果很可能正在进行调查，但一开始就有相当多的延迟，这并没有真正帮助它。”

也就是说，目前还不清楚苹果是否曾发送过一条消息说它首先收到了这份报告。Moussouris说，漏洞披露的ISO标准只要求该公司承认它收到了报告，漏洞可能需要很长时间才能修复。谷歌的“零日计划”（Project Zero）试图找出零日漏洞，给公司30到60天的时间对报告做出回应。这位记者可能不知道苹果公司在这方面采取了什么行动。

如果苹果和其他公司对报告设定明确的预期，告诉研究人员他们正在调查这个漏洞，并将披露内容保密，那么这些谜团中的一些问题可能会得到解决。

她说：“理想情况下，各组织在发布代码之前都会尽可能多地消除代码中的bug。”但在那之后，你知道它们将成为遗留下来的bug，那里有非常有创造力的黑客头脑，正如你所知，还有非常有创造力的青少年。”