蘋果公布有獎捉蟲計劃
據AppleInsider北京時間7月7日報道,由于安全人員不向蘋果報告發現的安全缺陷,而是在黑市上高價出售,蘋果的有獎捉蟲計劃開局不利。
在接受Motherboard采訪時,受邀參加蘋果有獎捉蟲計劃的研究人員表示,iOS安全缺陷價格太高,不愿意報告給蘋果。
參與者不愿意向蘋果報告發現的系統缺陷,原因是安全缺陷在黑市上價格更高,它們會影響進一步的研究工作。迄今為止,參與者尚未公開宣布獲得一筆獎勵。
Zimperium安全研究人員尼基亞斯·巴森(Nikias Bassen)表示,“如果把安全缺陷賣給其他人,安全研究人員可以獲得更多現金。如果查找系統缺陷的目的只是為了錢,研究人員就不會把發現的缺陷直接報告給蘋果。”
在Motherboard采訪的10名研究人員中,沒有1個人向蘋果提交報告。
蘋果在2016年黑帽大會上公布了有獎捉蟲計劃,目的是發現零日缺陷,增強系統安全性能。根據蘋果的計劃,發現與安全啟動固件組件有關的缺陷,研究人員可以獲得20萬美元獎金;發現可訪問Secure Enclave Processor保護的安全信息的缺陷,獎金為10萬美元;發現能以內核權限執行任意代碼的缺陷,獎金為5萬美元;能在沒有授權的情況下訪問蘋果服務器上iCloud賬戶數據的缺陷,獎金為5萬美元;能訪問沙盒進程、用戶數據的缺陷,獎金為2.5萬美元。
有媒體報告稱,對于能越獄iPhone的全套缺陷,Zerodium等公司的出價高達150萬美元。根據缺陷的價值,其他公司對iOS缺陷的出價也高達50萬美元。這些公司稱它們是守法經營,向考慮保護它們網絡的機構、執法部門和情報部門出售零日安全缺陷。
研究人員也對向蘋果報告安全缺陷持謹慎態度,因為這不利于他們自己的研究工作。iOS安全性能非常高,需要借助多個缺陷,才能利用深藏在操作系統中的其他缺陷。向蘋果報告缺陷后,該缺陷將得到修正,會影響到他們的研究工作。
去年受邀參加一次有獎捉蟲會議的安全研究人員,要求蘋果提供專用iPhone,或“開發者設備”——與公開發售的型號相比它們受到的限制較少。這樣的設備使研究人員在報告發現的安全缺陷的同時,能繼續對iOS的研究。蘋果拒絕向研究人員提供這類設備。
京公網安備 11010502049343號