澳门永利官网注册;质疑苹果掩饰重要 iOS 漏洞:谷歌不再参与 iPhone 新的 SRD 安全计划互联网

2020-07-31

因为苹果严苛的漏洞披露规则,澳门永利官网注册;包孕谷歌 Project Zero 在内的 iPhone 漏洞钻研领域的局部大牌团队和小我,今天都体现将不参与苹果新公布的 SRD 安适方案。

依照 SRD 方案,苹果将向安适钻研职员提供特制 iPhone

这些团队和小我包孕谷歌 Project Zero、ZecOps、Axi0mX 以及挪动安适公司 Guardian CEO 威尔 · 斯特拉法赫(Will Strafach)。

苹果的 SRD 方案在手机厂商中可谓并世无双。依照这一方案,苹果将向安适钻研职员提供特制版 iPhone,便利钻研职员发现此中的漏洞。苹果 2019 年 12 月份正式公布了 SRD 方案。

尽管安适社区去年对苹果公布 SRD 方案欢呼雀跃,以为这是苹果在正确路线上迈出的第一步,但他们对苹果今天公布的 SRD 方案规则却很是不满。

依照安适社区在社交媒体上的吐槽,让大多数安适钻研职员不满的是下述条目:陈诉影响苹果产品的安适漏洞后,苹果将确定安适钻研职员可以公开披露该漏洞的日期(通常环境下,苹果会在当天发布修改漏洞的补丁软件)。苹果将尽可能早地修改每个漏洞。在规定的日期前,安适钻研职员不得与其别人或机构探讨漏洞。

这一条目使得苹果可以让安适钻研职员 “闭嘴”,也使得苹果可以完全控制漏洞的披露过程。

许多安适钻研职员担忧,苹果会滥用这一条目,推延发布重要安适补丁的工夫。也有人担忧苹果会使用这一条目 “掩饰覆盖”他们的钻研,乃至阻止他们公开自身的工作。

谷歌 Project Zero 团队负责人本 · 霍克斯(Ben Hawkers)起首留神到了这一条目及其可能产生的影响,“鉴于在漏洞披露规则方面的限定,我们可能无法参与苹果 SRD 方案。”

ZecOps 通过 Twitter 颁布颁发不参与苹果 SRD 方案

搜集安适厂商 ZecOps 也在 Twitter 上颁布颁发将不参与 SRD 方案,继续以传统方法钻研 iPhone 安适问题。

对于体会苹果安适方案汗青的人来说,对苹果可能滥用 SRD 方案规则掩饰重要的 iOS 漏洞和安适钻研是符合情理的。之前,苹果屡次被责备存在如许的举动。

在 4 月份发布的多条推文中,macOS 和 iOS 开发职员杰夫 · 约翰逊(Jeff Johnson)责备苹果对其安适钻研工作不够器重。

1
3