游客

苹果捉虫项目遭遇尴尬 赏金太低参与者将漏洞转卖灰市

游客 2017-07-07 14:10:13    201097 次浏览

苹果捉虫项目遭遇尴尬 赏金太低参与者将漏洞转卖灰市

苹果在去年的黑帽大会上推出捉虫项目

拥有自己操作系统的公司为了提升系统安全性通常都会推出“赏金捉虫”项目,苹果也不例外。不过它们的捉虫项目遭遇了尴尬,那些通过邀请制加入该项目的安全研究人员不太给苹果面子,他们通常会雪藏自己找到的漏洞到灰市(半合法市场)售卖,因为那里明显给的报酬更高。

Motherboard 采访了十位捉虫项目参与者,他们均表示苹果的漏洞价值很高,根本不舍得上报(这十个人都没给苹果上报过任何漏洞)。最尴尬的是,参与该项目的研究人员现在没有一个人拿到过苹果的赏金。

“如果将漏洞卖给别人,就能拿到更多现金。”去年加入该项目的安全研究专家尼基亚斯-巴森说道。“如果参与捉虫项目就是为了挣钱,肯定不会有人把发现的漏洞呈交给苹果。”

苹果在去年的黑帽大会上正式推出了捉虫项目,起初该项目最高赏金达 20 万美元,但还没进行多久赏金就降到了 10 万美元,有的漏洞赏金则只有 2.5 万美元。

与苹果相比,第三方公司显然更豪气。如果你能找到可以搞定 iPhone 越狱的漏洞,Zerodium 的最高奖金甚至可达 150 万美元。对于较为重要的 iOS 的漏洞,也有公司愿意出价 50 万美元。当然,这些公司拿到漏洞后会进行合法利用,因此即使研究人员将漏洞卖给它们也并不违背道德。

此外,精明的研究者们还想在苹果系统上保留自己的“秘密花园”,如果将漏洞上报苹果,它们可能就会顺藤摸瓜封掉所有通路,到时连研究人员自己也进不去了。同时,研究人员一直想让苹果放开权限,提供一些开发者设备供他们研究,但一向喜欢保密的苹果并不同意。

内容加载中