因疑蘋果掩飾重要iOS漏洞 谷歌不再參與iPhone新的安全計劃

鳳凰網科技 2020-07-24 09:02:11

由于蘋果嚴苛的漏洞披露規則,包括谷歌Project Zero在內的iPhone漏洞研究領域的部分大牌團隊和個人,今天都表示將不參與蘋果新公布的SRD安全計劃。

這些團隊和個人包括谷歌Project Zero、ZecOps、Axi0mX以及移動安全公司Guardian CEO威爾·斯特拉法赫(Will Strafach)。

蘋果的SRD計劃在手機廠商中可謂獨一無二。根據這一計劃,蘋果將向安全研究人員提供特制版iPhone,方便研究人員發現其中的漏洞。蘋果2019年12月份正式公布了SRD計劃。

雖然安全社區去年對蘋果公布SRD計劃歡呼雀躍,認為這是蘋果在正確道路上邁出的第一步,但他們對蘋果今天公布的SRD計劃規則卻很是不滿。

根據安全社區在社交媒體上的吐槽,讓大多數安全研究人員不滿的是下述條款:報告影響蘋果產品的安全漏洞后,蘋果將確定安全研究人員能夠公開披露該漏洞的日期(通常情況下,蘋果會在當天發布修正漏洞的補丁軟件)。蘋果將盡可能早地修正每個漏洞。在規定的日期前,安全研究人員不得與其他人或機構討論漏洞。

這一條款使得蘋果能夠讓安全研究人員“閉嘴”,也使得蘋果能夠完全控制漏洞的披露過程。

許多安全研究人員擔心,蘋果會濫用這一條款,推遲發布重要安全補丁的時間。也有人擔心蘋果會利用這一條款“掩蓋”他們的研究,甚至阻止他們公開自己的工作。

谷歌Project Zero團隊負責人本·霍克斯(Ben Hawkers)首先注意到了這一條款及其可能產生的影響,“鑒于在漏洞披露規則方面的限制,我們可能無法參與蘋果SRD計劃。”

ZecOps通過Twitter宣布不參與蘋果SRD計劃

ZecOps通過Twitter宣布不參與蘋果SRD計劃

網絡安全廠商ZecOps也在Twitter上宣布將不參與SRD計劃,繼續以傳統方法研究iPhone安全問題。

對于了解蘋果安全計劃歷史的人來說,對蘋果可能濫用SRD計劃規則掩飾重要的iOS漏洞和安全研究是合乎情理的。之前,蘋果多次被指責存在這樣的行為。

在4月份發布的多條推文中,macOS和iOS開發人員杰夫·約翰遜(Jeff Johnson)指責蘋果對其安全研究工作不夠重視。(作者/霜葉)

ios漏洞,谷歌,蘋果

免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。

贵州体彩11选5开奖结果