質(zhì)疑蘋果掩飾重要iOS漏洞：谷歌不再參與iPhone新的SRD安全計劃

由于蘋果嚴苛的漏洞披露規(guī)則，包括谷歌 Project Zero 在內(nèi)的 iPhone 漏洞研究領(lǐng)域的部分大牌團隊和個人，今天都表示將不參與蘋果新公布的 SRD 安全計劃。

　　根據(jù) SRD 計劃，蘋果將向安全研究人員提供特制 iPhone

這些團隊和個人包括谷歌 Project Zero、ZecOps、Axi0mX 以及移動安全公司 Guardian CEO 威爾 · 斯特拉法赫（Will Strafach）。

蘋果的 SRD 計劃在手機廠商中可謂獨一無二。根據(jù)這一計劃，蘋果將向安全研究人員提供特制版 iPhone，方便研究人員發(fā)現(xiàn)其中的漏洞。蘋果 2019 年 12 月份正式公布了 SRD 計劃。

雖然安全社區(qū)去年對蘋果公布 SRD 計劃歡呼雀躍，認為這是蘋果在正確道路上邁出的第一步，但他們對蘋果今天公布的 SRD 計劃規(guī)則卻很是不滿。

根據(jù)安全社區(qū)在社交媒體上的吐槽，讓大多數(shù)安全研究人員不滿的是下述條款：報告影響蘋果產(chǎn)品的安全漏洞后，蘋果將確定安全研究人員能夠公開披露該漏洞的日期（通常情況下，蘋果會在當天發(fā)布修正漏洞的補丁軟件）。蘋果將盡可能早地修正每個漏洞。在規(guī)定的日期前，安全研究人員不得與其他人或機構(gòu)討論漏洞。

這一條款使得蘋果能夠讓安全研究人員 “閉嘴”，也使得蘋果能夠完全控制漏洞的披露過程。

許多安全研究人員擔心，蘋果會濫用這一條款，推遲發(fā)布重要安全補丁的時間。也有人擔心蘋果會利用這一條款 “掩蓋”他們的研究，甚至阻止他們公開自己的工作。

谷歌 Project Zero 團隊負責人本 · 霍克斯（Ben Hawkers）首先注意到了這一條款及其可能產(chǎn)生的影響，“鑒于在漏洞披露規(guī)則方面的限制，我們可能無法參與蘋果 SRD 計劃。”

　　ZecOps 通過 Twitter 宣布不參與蘋果 SRD 計劃

網(wǎng)絡安全廠商 ZecOps 也在 Twitter 上宣布將不參與 SRD 計劃，繼續(xù)以傳統(tǒng)方法研究 iPhone 安全問題。

對于了解蘋果安全計劃歷史的人來說，對蘋果可能濫用 SRD 計劃規(guī)則掩飾重要的 iOS 漏洞和安全研究是合乎情理的。之前，蘋果多次被指責存在這樣的行為。

在 4 月份發(fā)布的多條推文中，macOS 和 iOS 開發(fā)人員杰夫 · 約翰遜（Jeff Johnson）指責蘋果對其安全研究工作不夠重視。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。