科技财经频道: 国内财经 / 国际财经 / 汽车财经 / 产经新闻 / 科技财经 /

  • 质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划

    2020-07-23 11:47:16 [db:来源] [db:作者] 收藏
    科技财经

  根据SRD计划,苹果将向安全研究人员提供特制iPhone

  凤凰网科技讯 北京时间7月24日消息,由于苹果严苛的漏洞披露规则,包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人,今天都表示将不参与苹果新公布的SRD安全计划。

  这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔路斯特拉法赫(Will Strafach)。

  苹果的SRD计划在手机厂商中可谓独一无二。根据这一计划,苹果将向安全研究人员提供特制版iPhone,方便研究人员发现其中的漏洞。苹果2019年12月份正式公布了SRD计划。

  虽然安全社区去年对苹果公布SRD计划欢呼雀跃,认为这是苹果在正确道路上迈出的第一步,但他们对苹果今天公布的SRD计划规则却很是不满。

  根据安全社区在社交媒体上的吐槽,让大多数安全研究人员不满的是下述条款:报告影响苹果产品的安全漏洞后,苹果将确定安全研究人员能够公开披露该漏洞的日期(通常情况下,苹果会在当天发布修正漏洞的补丁软件)。苹果将尽可能早地修正每个漏洞。在规定的日期前,安全研究人员不得与其他人或机构讨论漏洞。

  这一条款使得苹果能够让安全研究人员“闭嘴”,也使得苹果能够完全控制漏洞的披露过程。

  许多安全研究人员担心,苹果会滥用这一条款,推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款“掩盖”他们的研究,甚至阻止他们公开自己的工作。

  谷歌Project Zero团队负责人本路霍克斯(Ben Hawkers)首先注意到了这一条款及其可能产生的影响,“鉴于在漏洞披露规则方面的限制,我们可能无法参与苹果SRD计划。”

  ZecOps通过Twitter宣布不参与苹果SRD计划

  网络安全厂商ZecOps也在Twitter上宣布将不参与SRD计划,继续以传统方法研究iPhone安全问题。

  对于了解苹果安全计划历史的人来说,对苹果可能滥用SRD计划规则掩饰重要的iOS漏洞和安全研究是合乎情理的。之前,苹果多次被指责存在这样的行为。

  在4月份发布的多条推文中,macOS和iOS开发人员杰夫路约翰逊(Jeff Johnson)指责苹果对其安全研究工作不够重视。(作者/霜叶)

  更多一手新闻,欢迎下载凤凰新闻客户端订阅凤凰网科技。想看深度报道,请微信搜索“iFeng科技”。

上一篇:外媒:英伟达有意收购软银旗下芯片设计公司ARM

下一篇:每日优鲜宣布完成新一轮4.95亿美元融资 中金资本领投

相关阅读

本文质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划由FX112财经网 首发,欢迎转载,转载请带上本文链接。
免责声明:FX112财经网(https://www.942fx.com)发布的所有信息,并不代表本站赞同其观 点和对其真实性负责,投资者据此操作,风险请自担。部分内容文章及图 片来自互联网或自媒体,版权归属于原作者,不保证该信息(包括但不限 于文字、图片、图表及数据)的准确性、真实性、完整性、有效性、及时 性、原创性等,如无意侵犯媒体或个人知识产权,请联系我们或致函告之 ,本站将在第一时间处理。关注FX112财经网,获取最优质的财经报道! 分享到: 新浪微博 微信

财经  全球7x24小时资讯
查看更多新闻 新域名
股票  独家原创视频
股票  点击排行
扫描左侧二维码
添加小编微信加入财经交流群
FX112财经网所刊载内容之知识产权为FX112财经网及/或相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。
Copyright FX112财经网 All Rights Reserved 版权所有 复制必究 Copyright ©