參與蘋果iOS抓漏獎勵的研究人員將收到特製版iPhone

蘋果本周開始履行去年8月發表的「iOS安全研究裝置」（iOS Security Research Device，SRD）計畫，寄送特製版的iPhone予參與該計畫的安全研究人員，並公布完整的SRD規定。

這支特製的iPhone是蘋果「借給」安全研究人員的，以供研究人員尋找iOS的安全漏洞，跟一般iPhone不同的是，它允許Shell存取，而且還可執行任何工具，據說還具備強化的除錯能力，除此之外，它的架構就是支標準iPhone。

SRD計畫的申請條件，除了必須身為蘋果開發者專案的會員之外，也必須有成功發現蘋果或其它平臺安全漏洞的紀錄，在所居住的國家必須已經成年，而且禁止蘋果員工參加。目前該計畫僅適用於逾20個特定國家，並未包含臺灣在內。

而根據蘋果的規定，SRD並不能作為個人使用或隨身攜帶，而是必須一直處於研究人員的住所內，而且只有經過蘋果審核授權的對象，才能存取及使用SRD。

此外，利用SRD所找到的蘋果漏洞必須提報給蘋果，也必須由蘋果決定漏洞的公布日期，通常是蘋果釋出修補程式的當天。

然而，Google Project Zero安全專家Ben Hawkes指出，蘋果所公布的SRD限制，顯然排除了包括他們在內的眾多資安業者，因為許多資安業者都採取90天的漏洞揭露政策，亦即在發現漏洞的90天後，假使對方沒修補也會公布漏洞。

Hawkes還說，他們其實早在2014或2015年就要求蘋果提供安全測試裝置，從那時到現在，至少已經提報逾350個安全漏洞予蘋果，而現在，就算他因SRD的此一規定感到很失望，但他們還是會持續研究蘋果的平臺，也會提供所有的細節予蘋果，因為這是對使用者安全而言應該做的事。

發現iPhone漏洞不能講？資安專家退出蘋果安全研究計劃

蘋果去年8月發表「iOS安全研究裝置」（iOS Security Research Device，SRD）計劃，本週開始實行，希望集結各方安全專家之力，共同找出iOS系統潛藏的安全漏洞。不過，由於蘋果對「抓錯」訂下嚴格的規定，包括Google在內，已有多個團隊拒絕參加這項計劃。

包括《TechCrunch》在內的多家科技網站報導，蘋果本週開始寄出特製iPhone給參與計劃的安全研究人員，這些手機都有開放權限，供研究人員尋找iOS系統的漏洞。

蘋果也公布了完整的SRD規定，要求安全人員發現系統錯誤和漏洞後即刻回報，且不得自行發表或與其他人／機構討論此事，至於這個漏洞何時公布，由蘋果決定。

這項規定引發安全人員不滿，因為大多數資安業者都採用「90天漏洞揭露政策」，也就是發現漏洞的90天後，就算對方沒公布或修補漏洞，業者也會自行公布此事。蘋果的做法等於要求安全人員封口。

Google資安團隊Project Zero帶頭宣布不參加這項計劃，專門研發iPhone越獄方法的安全研究人員Axi0mX及移動安全專家Will Strafach也不參與，網路安全公司ZecOps也表示不會加入這項計劃，但之後若發現iPhone有漏洞，仍會回報給蘋果。