情境示意圖,Photo by Tyler Lastovich on unsplash

根據多家媒體的報導,蘋果本周開始履行去年8月發表的「iOS安全研究裝置」(iOS Security Research Device,SRD)計畫,寄送特製版的iPhone予參與該計畫的安全研究人員,並公布完整的SRD規定

這支特製的iPhone是蘋果「借給」安全研究人員的,以供研究人員尋找iOS的安全漏洞,跟一般iPhone不同的是,它允許Shell存取,而且還可執行任何工具,據說還具備強化的除錯能力,除此之外,它的架構就是支標準iPhone。

SRD計畫的申請條件,除了必須身為蘋果開發者專案的會員之外,也必須有成功發現蘋果或其它平臺安全漏洞的紀錄,在所居住的國家必須已經成年,而且禁止蘋果員工參加。目前該計畫僅適用於逾20個特定國家,並未包含臺灣在內。

而根據蘋果的規定,SRD並不能作為個人使用或隨身攜帶,而是必須一直處於研究人員的住所內,而且只有經過蘋果審核授權的對象,才能存取及使用SRD。

此外,利用SRD所找到的蘋果漏洞必須提報給蘋果,也必須由蘋果決定漏洞的公布日期,通常是蘋果釋出修補程式的當天。

然而,Google Project Zero安全專家Ben Hawkes指出,蘋果所公布的SRD限制,顯然排除了包括他們在內的眾多資安業者,因為許多資安業者都採取90天的漏洞揭露政策,亦即在發現漏洞的90天後,假使對方沒修補也會公布漏洞。

Hawkes還說,他們其實早在2014或2015年就要求蘋果提供安全測試裝置,從那時到現在,至少已經提報逾350個安全漏洞予蘋果,而現在,就算他因SRD的此一規定感到很失望,但他們還是會持續研究蘋果的平臺,也會提供所有的細節予蘋果,因為這是對使用者安全而言應該做的事。


Advertisement

更多 iThome相關內容