Google不滿蘋果限制披露iOS漏洞 拒參與iPhone安全研究計劃

科技 17:14 2020/07/23

分享:

蘋果透過要求安全研究人員封口,全面控制漏洞的披露過程,使人擔心蘋果會濫用這一條款,掩飾重要的iOS錯誤和研究。

蘋果(Apple)近日正式推出Security Research Device(SRD)計劃,旨在為安全研究人員提供特殊iPhone,並開放訪問權限,使他們更易發現安全漏洞和弱點,藉以提高iOS設備的安全性。不過,由於蘋果嚴苛的漏洞披露規則,逼使Google在內的多個開發團隊,相繼表明不參與SRD安全計劃。

《ZDNet》報道,最令安全研究人員不滿的是,蘋果在收到產品的安全漏洞報告後,將自行決定什麼時候公布,研究人員卻不能發表任何成果,或與其他人及機構討論事宜。

【為港爭光】港青憑iPhone 11 Pro拍日落美景 蘋果攝影比賽奪獎

美市場調查機構讚iPhone SE 成功吸引果粉換機

換句話說,蘋果透過要求安全研究人員封口,全面控制漏洞的披露過程,使人擔心蘋果會濫用這一條款,掩飾重要的iOS錯誤和研究。有安全研究人員強調,披露截止日期是業界的標準做法,「蘋果卻要求研究人員無限期等待,才能披露任何安全錯誤,如果沒有最後期限的話,這無疑是毒藥。」

Google資訊保安團隊「Project Zero」負責人Ben Hawkers表示,考慮到蘋果的漏洞披露限制,他們決定不參與SRD計劃。網絡安全公司ZecOps亦在Twitter宣布不加入,但若從傳統方法中研究出iPhone的安全問題,會繼續通報蘋果。

此外,專門開發iPhone越獄方法的安全研究人員Axi0mX,以及移動安全專家Will Strafach,同稱不參與SRD安全計劃。

責任編輯:姚慧儀

緊貼財經時事新聞分析,讚好hket Facebook 專版