凤凰网质疑苹果掩饰重要iOS漏洞谷歌不再参与iPhone新的SRD安全计划
本文插图
根据SRD计划 , 苹果将向安全研究人员提供特制iPhone
凤凰网科技讯 北京时间7月24日消息 , 由于苹果严苛的漏洞披露规则 , 包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人 , 今天都表示将不参与苹果新公布的SRD安全计划 。
这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔·斯特拉法赫(Will Strafach) 。
苹果的SRD计划在手机厂商中可谓独一无二 。 根据这一计划 , 苹果将向安全研究人员提供特制版iPhone , 方便研究人员发现其中的漏洞 。 苹果2019年12月份正式公布了SRD计划 。
虽然安全社区去年对苹果公布SRD计划欢呼雀跃 , 认为这是苹果在正确道路上迈出的第一步 , 但他们对苹果今天公布的SRD计划规则却很是不满 。
根据安全社区在社交媒体上的吐槽 , 让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后 , 苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下 , 苹果会在当天发布修正漏洞的补丁软件) 。 苹果将尽可能早地修正每个漏洞 。 在规定的日期前 , 安全研究人员不得与其他人或机构讨论漏洞 。
这一条款使得苹果能够让安全研究人员“闭嘴” , 也使得苹果能够完全控制漏洞的披露过程 。
许多安全研究人员担心 , 苹果会滥用这一条款 , 推迟发布重要安全补丁的时间 。 也有人担心苹果会利用这一条款“掩盖”他们的研究 , 甚至阻止他们公开自己的工作 。
谷歌Project Zero团队负责人本·霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响 , “鉴于在漏洞披露规则方面的限制 , 我们可能无法参与苹果SRD计划 。 ”
本文插图
ZecOps通过Twitter宣布不参与苹果SRD计划
网络安全厂商ZecOps也在Twitter上宣布将不参与SRD计划 , 继续以传统方法研究iPhone安全问题 。
对于了解苹果安全计划历史的人来说 , 对苹果可能滥用SRD计划规则掩饰重要的iOS漏洞和安全研究是合乎情理的 。 之前 , 苹果多次被指责存在这样的行为 。
在4月份发布的多条推文中 , macOS和iOS开发人员杰夫·约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视 。 (作者/霜叶)
【凤凰网质疑苹果掩饰重要iOS漏洞谷歌不再参与iPhone新的SRD安全计划】更多一手新闻 , 欢迎下载凤凰新闻客户端订阅凤凰网科技 。 想看深度报道 , 请微信搜索“iFeng科技” 。
推荐阅读
- 小i机器人|小i机器人对苹果提起侵权诉讼索赔人民币100亿元
- 金十数据|苹果欲向印转移6条生产线,印度手机市场混战:三星份额紧追小米
- 钨丝科技 CEO 库克:员工可居家工作至明年,苹果
- 36氪|苹果App store下架超3万款应用,无版号游戏失去避风港
- 小i机器人对苹果提起诉讼并索赔100亿人民币
- 背负质疑的共享办公,可怕的是没有可靠的盈利模式
- 苹果|死磕到底?苹果CEO库克霸气回应:我们是不会做出任何让步
- 钛晨报,TikTok将在美国长期运营,将暂停其在中国最后一家电脑工厂的运营,和高性能版,苹果早前发布了最后通牒,苹果半日下架逾2
- 罗罗聊数码|苹果3万多款APP下架,iPhone生产线或遭转移,反击效果出现
- Mac苹果资讯分享 Mac截屏录像工具v1.9.2激活版,Screencast