蘋果去年8月發表「iOS安全研究裝置」(iOS Security Research Device,SRD)計劃,本週開始實行,希望集結各方安全專家之力,共同找出iOS系統潛藏的安全漏洞。不過,由於蘋果對「抓錯」訂下嚴格的規定,包括Google在內,已有多個團隊拒絕參加這項計劃。
包括《TechCrunch》在內的多家科技網站報導,蘋果本週開始寄出特製iPhone給參與計劃的安全研究人員,這些手機都有開放權限,供研究人員尋找iOS系統的漏洞。
蘋果也公布了完整的SRD規定,要求安全人員發現系統錯誤和漏洞後即刻回報,且不得自行發表或與其他人/機構討論此事,至於這個漏洞何時公布,由蘋果決定。
這項規定引發安全人員不滿,因為大多數資安業者都採用「90天漏洞揭露政策」,也就是發現漏洞的90天後,就算對方沒公布或修補漏洞,業者也會自行公布此事。蘋果的做法等於要求安全人員封口。
Google資安團隊Project Zero帶頭宣布不參加這項計劃,專門研發iPhone越獄方法的安全研究人員Axi0mX及移動安全專家Will Strafach也不參與,網路安全公司ZecOps也表示不會加入這項計劃,但之後若發現iPhone有漏洞,仍會回報給蘋果。