由于蘋(píng)果嚴(yán)苛的漏洞披露規(guī)則,包括谷歌 Project Zero 在內(nèi)的 iPhone 漏洞研究領(lǐng)域的部分大牌團(tuán)隊(duì)和個(gè)人,今天都表示將不參與蘋(píng)果新公布的 SRD 安全計(jì)劃。
根據(jù) SRD 計(jì)劃,蘋(píng)果將向安全研究人員提供特制 iPhone
這些團(tuán)隊(duì)和個(gè)人包括谷歌 Project Zero、ZecOps、Axi0mX 以及移動(dòng)安全公司 Guardian CEO 威爾 · 斯特拉法赫(Will Strafach)。
蘋(píng)果的 SRD 計(jì)劃在手機(jī)廠商中可謂獨(dú)一無(wú)二。根據(jù)這一計(jì)劃,蘋(píng)果將向安全研究人員提供特制版 iPhone,方便研究人員發(fā)現(xiàn)其中的漏洞。蘋(píng)果 2019 年 12 月份正式公布了 SRD 計(jì)劃。
雖然安全社區(qū)去年對(duì)蘋(píng)果公布 SRD 計(jì)劃歡呼雀躍,認(rèn)為這是蘋(píng)果在正確道路上邁出的第一步,但他們對(duì)蘋(píng)果今天公布的 SRD 計(jì)劃規(guī)則卻很是不滿。
根據(jù)安全社區(qū)在社交媒體上的吐槽,讓大多數(shù)安全研究人員不滿的是下述條款:報(bào)告影響蘋(píng)果產(chǎn)品的安全漏洞后,蘋(píng)果將確定安全研究人員能夠公開(kāi)披露該漏洞的日期(通常情況下,蘋(píng)果會(huì)在當(dāng)天發(fā)布修正漏洞的補(bǔ)丁軟件)。蘋(píng)果將盡可能早地修正每個(gè)漏洞。在規(guī)定的日期前,安全研究人員不得與其他人或機(jī)構(gòu)討論漏洞。
這一條款使得蘋(píng)果能夠讓安全研究人員 “閉嘴”,也使得蘋(píng)果能夠完全控制漏洞的披露過(guò)程。
許多安全研究人員擔(dān)心,蘋(píng)果會(huì)濫用這一條款,推遲發(fā)布重要安全補(bǔ)丁的時(shí)間。也有人擔(dān)心蘋(píng)果會(huì)利用這一條款 “掩蓋”他們的研究,甚至阻止他們公開(kāi)自己的工作。
谷歌 Project Zero 團(tuán)隊(duì)負(fù)責(zé)人本 · 霍克斯(Ben Hawkers)首先注意到了這一條款及其可能產(chǎn)生的影響,“鑒于在漏洞披露規(guī)則方面的限制,我們可能無(wú)法參與蘋(píng)果 SRD 計(jì)劃。”
ZecOps 通過(guò) Twitter 宣布不參與蘋(píng)果 SRD 計(jì)劃
網(wǎng)絡(luò)安全廠商 ZecOps 也在 Twitter 上宣布將不參與 SRD 計(jì)劃,繼續(xù)以傳統(tǒng)方法研究 iPhone 安全問(wèn)題。
對(duì)于了解蘋(píng)果安全計(jì)劃歷史的人來(lái)說(shuō),對(duì)蘋(píng)果可能濫用 SRD 計(jì)劃規(guī)則掩飾重要的 iOS 漏洞和安全研究是合乎情理的。之前,蘋(píng)果多次被指責(zé)存在這樣的行為。
在 4 月份發(fā)布的多條推文中,macOS 和 iOS 開(kāi)發(fā)人員杰夫 · 約翰遜(Jeff Johnson)指責(zé)蘋(píng)果對(duì)其安全研究工作不夠重視。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 華為發(fā)布5G-AA十大解決方案,滿足移動(dòng)AI時(shí)代多樣化業(yè)務(wù)需求
- 華為楊超斌:5G-A技術(shù)持續(xù)演進(jìn)是釋放移動(dòng)AI潛力的關(guān)鍵
- 沙特PIF與谷歌云合建AI中心:用于研究阿拉伯語(yǔ)模型和專屬APP
- 沙特PIF與谷歌云合建AI中心:用于研究阿拉伯語(yǔ)模型和專屬APP
- 華為前三季度業(yè)績(jī)曝光:營(yíng)收5859億,凈利潤(rùn)628.68億
- 畫(huà)餅成真?Meta第三季度營(yíng)收增長(zhǎng)19%至405億美元
- 畫(huà)餅成真?Meta第三季度營(yíng)收增長(zhǎng)19%至405億美元
- 新十年開(kāi)篇力作:一加13正式發(fā)布,產(chǎn)品力“樣樣超Pro”
- 新十年開(kāi)篇力作:一加13正式發(fā)布,產(chǎn)品力“樣樣超Pro”
- 諾基亞將牽頭歐盟可持續(xù)6G項(xiàng)目
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。