Apple|质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划
北京时间7月24日消息,由于苹果严苛的漏洞披露规则,包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的SRD安全计划 。这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔·斯特拉法赫(Will Strafach) 。
访问:
苹果在线商店(中国)
苹果的SRD计划在手机厂商中可谓独一无二 。根据这一计划,苹果将向安全研究人员提供特制版iPhone,方便研究人员发现其中的漏洞 。苹果2019年12月份正式公布了SRD计划 。
虽然安全社区去年对苹果公布SRD计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的SRD计划规则却很是不满 。
根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件) 。苹果将尽可能早地修正每个漏洞 。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞 。
这一条款使得苹果能够让安全研究人员“闭嘴”,也使得苹果能够完全控制漏洞的披露过程 。
许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间 。也有人担心苹果会利用这一条款“掩盖”他们的研究,甚至阻止他们公开自己的工作 。
谷歌Project Zero团队负责人本·霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果SRD计划 。”
文章图片
【Apple|质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划】ZecOps通过Twitter宣布不参与苹果SRD计划
网络安全厂商ZecOps也在Twitter上宣布将不参与SRD计划,继续以传统方法研究iPhone安全问题 。
对于了解苹果安全计划历史的人来说,对苹果可能滥用SRD计划规则掩饰重要的iOS漏洞和安全研究是合乎情理的 。之前,苹果多次被指责存在这样的行为 。
在4月份发布的多条推文中,macOS和iOS开发人员杰夫·约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视 。(作者/霜叶)
推荐阅读
- 快讯神记|一手遮天实锤!德云斗笑社开播,郭德纲爱徒处处有特权被质疑
- 有教会想众筹并在黎智英旗下《苹果日报》登广告,被天主教香港教区叫停
- 硬件|正面刚Apple Watch和Fitbit 亚马逊推出智能手环Halo
- 特朗普上台演讲时差点摔倒,顺势摆了个姿势,网友再次质疑健康问题
- 美国疾控中心新指导建议引发质疑:新指导建议会加剧病毒传播
- Apple|媒体出版行业需要积极适应iOS 14的隐私指导
- 公平|《乘风破浪的姐姐》出道规则被批不公平,万茜被质疑就是内定选手
- Epic|苹果 VS Epic,抽成30%究竟是不是暴利?
- Apple|研究称在约会App资料中显示拥有iPhone被 "匹配 "的几率增加76%
- Apple|FB批评苹果的应用商店政策被迫在iOS上推出移除游戏功能的Gaming应用