由于苹果严苛的漏洞披露规则,包括谷歌 Project Zero 在内的 iPhone 漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的 SRD 安全计划。
根据 SRD 计划,苹果将向安全研究人员提供特制 iPhone
这些团队和个人包括谷歌 Project Zero、ZecOps、Axi0mX 以及移动安全公司 Guardian CEO 威尔 · 斯特拉法赫(Will Strafach)。
苹果的 SRD 计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版 iPhone,方便研究人员发现其中的漏洞。苹果 2019 年 12 月份正式公布了 SRD 计划。
虽然安全社区去年对苹果公布 SRD 计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的 SRD 计划规则却很是不满。
根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。
这一条款使得苹果能够让安全研究人员 “闭嘴”,也使得苹果能够完全控制漏洞的披露过程。
许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款 “掩盖”他们的研究,甚至阻止他们公开自己的工作。
谷歌 Project Zero 团队负责人本 · 霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果 SRD 计划。”
ZecOps 通过 Twitter 宣布不参与苹果 SRD 计划
网络安全厂商 ZecOps 也在 Twitter 上宣布将不参与 SRD 计划,继续以传统方法研究 iPhone 安全问题。
对于了解苹果安全计划历史的人来说,对苹果可能滥用 SRD 计划规则掩饰重要的 iOS 漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。
在 4 月份发布的多条推文中,macOS 和 iOS 开发人员杰夫 · 约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 出人意料:马来西亚第二张5G网络花落U Mobile
- 出人意料:马来西亚第二张5G网络花落U Mobile
- 浙江省政务云启动竞争性磋商 预算金额5.519亿元
- SK电讯宣布最新战略:打造“AI基础设施高速公路”,成为亚太AI枢纽
- 中国移动网络云资源池第三方软件集成服务集采:总预算约3570万元
- 探访南凌科技“AI+安全”研讨会:AI“双刃剑”,必须紧握手中
- Omdia观察:马来西亚第二张5G网络仍待敲定
- 工银资本交银投资等入股紫光展锐 全力推动紫光展锐上市
- 中国走在了世界第一!今年我国物联网连接数有望突破30亿
- 华为发布天线数字化白皮书,开启天线产业新篇章
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。