首页 珠三角 资讯 关注 科技 财经 汽车 房产 图片 视频

手机

旗下栏目: 业内 数据 数码 手机

苹果今天这操作,有点丢脸啊

来源:网络整理 作者:珠江新闻 人气: 发布时间:2020-07-27 移动版
摘要:这……不合适吧
几乎每隔一段时间,大家就会在各大媒体上,看到手机系统出现漏洞的消息。

这些漏洞,常常被媒体和黑客入侵、资料外泄等联系起来。最严重的后果嘛,什么聊天记录、相册私照统统都会落入到别人的手里。

每逢这个时候,六号线吴彦祖的心总会咯噔一下。


害,倒不是说机哥手机里有什么不可告人的秘密(真的),但站在所有用户的角度来看,总是觉得安全性上欠缺了那么一些。

不仅仅是安卓,就连以封闭安全而为人所熟知的 iOS,也有同样的问题。

于是在去年底,苹果就计划推出一个名为安全研究设备计划(SRD)的项目,旨在提前发现 iPhone 上的漏洞。

机哥多年的担忧,似乎就要成为过去式啦。


然鹅,事情的发展并不像大伙预想中的那么顺利。

前两天,这个计划终于正式发布。但是不少业界著名的安全研究公司,开始出来吐槽苹果的这项计划。

他们表示,苹果的目的或许并不是要大家帮忙发现漏洞。

真正的目的,是要向全世界用户,掩饰 iOS 系统真实存在的问题。



机哥先和大家介绍一下,苹果这个刚发布的安全研究设备计划。

按照苹果的说法,官方会向参与计划的人员,发放专用于安全性研究的iPhone,使其可以在受控的环境中,用于安全研究。


这个 iPhone 和用户手上的不一样,将配备定制化的 iOS 软件,可操作性会更高。

具体来说,就是开启了 SSH 访问权限,关掉了代码签名。

这样一来,安全研究人员就可以在这部 iPhone 上,运行软件最高权限的定制命令,从而更好地发掘出一些深层的问题。


当然啦,这些安全研究人员可不是白白给苹果干活。

这个项目连接苹果的赏金漏洞计划,根据所报告问题的严重程度,最高可以获得 100 万美元的奖金。

如果是在 beta 版中发现漏洞,奖金甚至还能再加码 50%,最高达到 150 万美元。

换算成人民币的话,就是整整 1052 万元。


不过嚯,这个计划可是有限制的。

例如每一位安全研究人员拥有这台特制版 iPhone,都有一个 12 个月的周期。

日常情况下,这台设备不能用作个人设备,不能带到任何室外的地方,也不能外借给没有获得授权的人员。

更重要的是,一旦当你查到漏洞并且向苹果报告,在苹果修复之前,安全研究人员不能对漏洞进行披露。


这么听起来,好像并没有什么不对。

但最后的这个条款,就是机哥前面说到,这个安全研究设备计划被吐槽的原因。


在大家的角度里,如果漏洞公布得过早的话,就会有不怀好意的黑客会利用其下手,做一些损坏苹果和用户利益的事情。

So,苹果这么做当然是没啥问题。

不过在安全研究人员的角度来说,苹果可以通过这个条款,要求安全研究人员“闭嘴”。

即便这个漏洞永远都不被修复,它们也不能对外界透露一个字。


这就和安全研究人员的定位相悖啦。

他们平常都是充当纠察队的角色,监督这些企业修复各种不安全的漏洞。

他们会要求企业尽快解决问题,并且设置截止日期,一般是 90 天。

如果企业没有在规定的时间内完成任务,他们就会考虑对外公布。一般企业碍于形象,都会赶紧修复。

而苹果的做法相当于反客为主,直接通过条款招降这些安全研究人员,封住他们的嘴。

这小算盘,都盘出包浆来了。


除此之外,还有很大一部分安全研究人员背后并没有公司,就是依靠找到漏洞后,企业给的赏金来过活。

一般需要等到打完补丁修复漏洞,才会开始给这些安全研究人员支付相应的赏金。

按照行规 90 天,大家都能知道,大概什么时候会收到这部分款项。

但如果像苹果规定的一样,由苹果自己决定修复时间,那么收钱的日子说不定就遥遥无期。

这样的事情,并不是没有发生过。

机哥发现社交媒体上就有人披露,给微软报告了漏洞之后没有收到赏金。


而苹果虽然没有拖欠赏金的做法,但是拖着漏洞不补,也是有先例的……

早在六月份的时候,就有安全研究人员爆出,自己找到的 macOS 漏洞,被苹果给一直拖着。

揭露:又一个 macOS 隐私保护漏洞被苹果绕过


按照这位兄弟提供的时间线,去年 9 月发现的问题,到现在还没有被重视起来。


所以嘛,条款一出,这些靠赏金吃饭的安全研究人员,就觉得更加不踏实啦。


于是乎,很多专业互联网安全界的大佬,都出来吐槽苹果的这个安全研究设备计划。

像谷歌的 Project Zero 的负责人本 · 霍克斯,就直接在社交媒体上称,这个项目不适合他们,因为不符合行业规矩。


而另一个网络安全公司 ZecOps 则直接对苹果发起嘲讽:

与其弄这个项目,还不如 多花点时间做好你们自己的系统 ……


其实,这些安全研究人员和网络安全公司,本身对这个安全研究设备计划也没什么特别大的需求。

简单来说,这计划顶多就是锦上添花,帮安全研究人员提供破解版的 iPhone 而已。

不过这么些年来,大家都是通过自己破解的 iPhone,也一样找到过不少的漏洞。

况且,苹果的赏金计划并不限制他们,必须加入这个安全研究设备计划。只要找到漏洞,还是一样能够申请赏金。

而且,安全研究人员获得报酬的途径,也不只有这一条,还有相关的执法部门和黑市等等。


不过作为用户,机哥还是希望看到,苹果能通过这个计划,减少 iPhone 上的各种高危漏洞。

毕竟这些年,一条短信就能入侵 iPhone 的 bug 出现,偶有出现。

万一……机哥是说万一,到时候搞出什么大事故,苦的还是用户呀。

苹果长点心吧
↘↘↘
预览时标签不可点
责任编辑:珠江新闻
首页 | 珠三角 | 资讯 | 关注 | 科技 | 财经 | 汽车 | 房产 | 图片 | 视频

Copyright © 2017 微播珠三角 WWW.ZHU31.COM 版权所有 Power by DedeCms

**广告、链接、目录联系:QQ1260995099 非诚勿扰** 移动版 sigma试剂 sigma试剂 贺州新闻网 福利网 飞艇资讯网 最新更新