首页 > 新闻资讯 > 质疑苹果掩饰重要漏洞,谷歌不再参与 iPhone 新的 SRD 安全计划

质疑苹果掩饰重要漏洞,谷歌不再参与 iPhone 新的 SRD 安全计划

漏洞 谷歌 iPhone
592 2022-07-30

由于苹果严苛的漏洞披露规则,包括谷歌 Project Zero 在内的 iPhone 漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的 SRD 安全计划。这些团队和个人包括谷歌 Project Zero、ZecOps、Axi0mX 以及移动安全公司 Guardian CEO 威尔·斯特拉法赫(Will Strafach)。


质疑苹果掩饰重要漏洞,谷歌不再参与 iPhone 新的 SRD 安全计划


苹果的 SRD 计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版 iPhone,方便研究人员发现其中的漏洞。苹果 2019 年 12 月份正式公布了 SRD 计划。

虽然安全社区去年对苹果公布 SRD 计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的 SRD 计划规则却很是不满。

根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。

这一条款使得苹果能够让安全研究人员 “闭嘴”,也使得苹果能够完全控制漏洞的披露过程。

许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款 “掩盖” 他们的研究,甚至阻止他们公开自己的工作。

谷歌 Project Zero 团队负责人本·霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果 SRD 计划。”

ZecOps 通过 Twitter 宣布不参与苹果 SRD 计划

网络安全厂商 ZecOps 也在 Twitter 上宣布将不参与 SRD 计划,继续以传统方法研究 iPhone 安全问题。

对于了解苹果安全计划历史的人来说,对苹果可能滥用 SRD 计划规则掩饰重要的 iOS 漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。

在 4 月份发布的多条推文中,macOS 和 iOS 开发人员杰夫·约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视。

特别声明:本文版权归文章作者所有,仅代表作者观点,不代表爱思助手观点和立场。本文为第三方用户上传,仅用于学习和交流,不用于商业用途,如文中的内容、图片、音频、视频等存在第三方的先知识产权,请及时联系我们删除。

关于我们 | 广告服务 | 联系我们 | 免责声明 | 网站地图 | 友情链接

湘ICP备19005331号-4 2018-2024 guofenkong.com 版权所有.

果粉控是专业苹果设备信息查询平台,提供最新的IOS系统固件下载和相关APP应用及游戏下载,绿色无毒,下载速度快。

联系邮箱:guofenkong@163.com