高雄市市長補選
高雄市市長補選 高雄市市長補選

發現iPhone漏洞不能講?資安專家退出蘋果安全研究計劃

新頭殼newtalk | 郜敏 綜合報導
1970-01-01T00:00:00Z
蘋果正推動「iOS安全研究裝置」計劃,鼓勵資安專家找出iOS系統的漏洞與錯誤。   圖:取自蘋果官網
蘋果正推動「iOS安全研究裝置」計劃,鼓勵資安專家找出iOS系統的漏洞與錯誤。   圖:取自蘋果官網

蘋果去年8月發表「iOS安全研究裝置」(iOS Security Research Device,SRD)計劃,本週開始實行,希望集結各方安全專家之力,共同找出iOS系統潛藏的安全漏洞。不過,由於蘋果對「抓錯」訂下嚴格的規定,包括Google在內,已有多個團隊拒絕參加這項計劃。

包括《TechCrunch》在內的多家科技網站報導,蘋果本週開始寄出特製iPhone給參與計劃的安全研究人員,這些手機都有開放權限,供研究人員尋找iOS系統的漏洞。

蘋果也公布了完整的SRD規定,要求安全人員發現系統錯誤和漏洞後即刻回報,且不得自行發表或與其他人/機構討論此事,至於這個漏洞何時公布,由蘋果決定。

這項規定引發安全人員不滿,因為大多數資安業者都採用「90天漏洞揭露政策」,也就是發現漏洞的90天後,就算對方沒公布或修補漏洞,業者也會自行公布此事。蘋果的做法等於要求安全人員封口。

Google資安團隊Project Zero帶頭宣布不參加這項計劃,專門研發iPhone越獄方法的安全研究人員Axi0mX及移動安全專家Will Strafach也不參與,網路安全公司ZecOps也表示不會加入這項計劃,但之後若發現iPhone有漏洞,仍會回報給蘋果。

不過,由於蘋果對「抓錯」訂下嚴格的規定,包括Google在內,已有多個團隊拒絕參加這項計劃。

蘋果的做法等於要求安全人員封口。

網路安全公司ZecOps也表示不會加入這項計劃,但之後若發現iPhone有漏洞,仍會回報給蘋果。

網友留言
留言如有不雅或攻擊性文字、重複灌水、廣告、外站連結等內容,本網站將保有刪除留言之權利
留言
追蹤
網頁已閒置超過 90 秒囉!
請按任意鍵,或點擊空白處,即可回到文章。