质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划

本篇文章933字，读完约2分钟

根据srd计划，苹果将向安全研究人员提供特殊的iphone

凤凰网科技新闻北京时间7月24日消息，由于苹果严格的漏洞披露规定，包括谷歌零项目在内的iphone漏洞研究领域的一些知名团队和个人今天表示，他们不会参与苹果新宣布的srd安全计划。

这些团队和个人包括谷歌零项目、zecops、axi0mx和移动安全公司Guardian的首席执行官威尔·斯特拉法奇。

苹果的srd计划在手机制造商中独一无二。根据这一计划，苹果公司将为安全研究人员提供一款特殊版本的iphone，以便研究人员能够发现漏洞。苹果在2019年12月正式宣布了srd计划。

尽管安全社区为苹果去年宣布srd计划而欢呼，认为这是正确道路上的第一步，但他们对苹果今天宣布的srd计划的规则非常不满。

根据社交媒体上安全社区的评论，大多数安全研究人员对以下条款不满意:在报告了影响苹果产品的安全漏洞后，苹果将确定安全研究人员可以公开披露漏洞的日期(通常，苹果会在同一天发布补丁来修复漏洞)。苹果将尽早修复每个漏洞。安全研究人员不允许在指定日期之前与他人或机构讨论漏洞。

这项规定使苹果公司能够“关闭”安全研究人员，也使苹果公司能够完全控制漏洞的披露过程。

许多安全研究人员担心苹果会滥用这一条款，推迟重要安全补丁的发布。有些人担心苹果公司会用这个条款来“掩盖”他们的研究，甚至阻止他们披露他们的工作。

谷歌零项目团队负责人本·霍克首先注意到了这一条款及其可能的影响。“鉴于漏洞披露规则的限制，我们可能无法参与苹果的srd计划。”

Zecops通过twitter宣布，它不会参与苹果的srd计划

网络安全供应商Zecops也在twitter上宣布，它不会参与srd计划，并将继续以传统方式研究iphone的安全问题。

对于那些了解苹果安全计划历史的人来说，苹果滥用srd计划规则来掩盖重要的ios漏洞和安全研究是合理的。苹果公司以前多次被指控有这种行为。

在4月份发布的一些推文中，macos和ios的开发者杰夫·约翰逊(jeff johnson)指责苹果对其安全研究工作不够重视。(作者/霜叶)

更多第一手新闻，欢迎下载凤凰新闻客户端，订阅凤凰网技术。如果你想看深度报道，请在微信上搜索“凤凰科技”。

来源：搜狐微门户