爱思助手

质疑苹果掩饰重要漏洞,谷歌不再参与 iPhone 新的 SRD 安全计划

由于苹果严苛的漏洞披露规则,包括谷歌 Project Zero 在内的 iPhone 漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的 SRD 安全计划。这些团队和个人包括谷歌 Project Zero、ZecOps、Axi0mX 以及移动安全公司 Guardian CEO 威尔·斯特拉法赫(Will Strafach)。


质疑苹果掩饰重要漏洞,谷歌不再参与 iPhone 新的 SRD 安全计划


苹果的 SRD 计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版 iPhone,方便研究人员发现其中的漏洞。苹果 2019 年 12 月份正式公布了 SRD 计划。


虽然安全社区去年对苹果公布 SRD 计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的 SRD 计划规则却很是不满。


根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。


这一条款使得苹果能够让安全研究人员 “闭嘴”,也使得苹果能够完全控制漏洞的披露过程。


许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款 “掩盖” 他们的研究,甚至阻止他们公开自己的工作。


谷歌 Project Zero 团队负责人本·霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果 SRD 计划。”


ZecOps 通过 Twitter 宣布不参与苹果 SRD 计划


网络安全厂商 ZecOps 也在 Twitter 上宣布将不参与 SRD 计划,继续以传统方法研究 iPhone 安全问题。


对于了解苹果安全计划历史的人来说,对苹果可能滥用 SRD 计划规则掩饰重要的 iOS 漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。


在 4 月份发布的多条推文中,macOS 和 iOS 开发人员杰夫·约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视。


特别声明:本文版权归文章作者所有,仅代表作者观点,不代表爱思助手观点和立场。本文为第三方用户上传,仅用于学习和交流,不用于商业用途,如文中的内容、图片、音频、视频等存在第三方的先知识产权,请及时联系我们删除。