發現iPhone漏洞不能講？資安專家退出蘋果安全研究計劃

annan5168

蘋果去年8月發表「iOS安全研究裝置」（iOS Security Research Device，SRD）計劃，本週開始實行，希望集結各方安全專家之力，共同找出iOS系統潛藏的安全漏洞。不過，由於蘋果對「抓錯」訂下嚴格的規定，包括Google在內，已有多個團隊拒絕參加這項計劃。

包括《TechCrunch》在內的多家科技網站報導，蘋果本週開始寄出特製iPhone給參與計劃的安全研究人員，這些手機都有開放權限，供研究人員尋找iOS系統的漏洞。

蘋果也公布了完整的SRD規定，要求安全人員發現系統錯誤和漏洞後即刻回報，且不得自行發表或與其他人�機構討論此事，至於這個漏洞何時公布，由蘋果決定。

這項規定引發安全人員不滿，因為大多數資安業者都採用「90天漏洞揭露政策」，也就是發現漏洞的90天後，就算對方沒公布或修補漏洞，業者也會自行公布此事。蘋果的做法等於要求安全人員封口。

Google資安團隊Project Zero帶頭宣布不參加這項計劃，專門研發iPhone越獄方法的安全研究人員Axi0mX及移動安全專家Will Strafach也不參與，網路安全公司ZecOps也表示不會加入這項計劃，但之後若發現iPhone有漏洞，仍會回報給蘋果。