苹果公布有奖捉虫计划
凤凰科技讯 据AppleInsider北京时间7月7日报道,由于安全人员不向苹果报告发现的安全缺陷,而是在黑市上高价出售,苹果的有奖捉虫计划开局不利。
在接受Motherboard采访时,受邀参加苹果有奖捉虫计划的研究人员表示,iOS安全缺陷价格太高,不愿意报告给苹果。
参与者不愿意向苹果报告发现的系统缺陷,原因是安全缺陷在黑市上价格更高,它们会影响进一步的研究工作。迄今为止,参与者尚未公开宣布获得一笔奖励。
Zimperium安全研究人员尼基亚斯·巴森(Nikias Bassen)表示,“如果把安全缺陷卖给其他人,安全研究人员可以获得更多现金。如果查找系统缺陷的目的只是为了钱,研究人员就不会把发现的缺陷直接报告给苹果。”
在Motherboard采访的10名研究人员中,没有1个人向苹果提交报告。
苹果在2016年黑帽大会上公布了有奖捉虫计划,目的是发现零日缺陷,增强系统安全性能。根据苹果的计划,发现与安全启动固件组件有关的缺陷,研究人员可以获得20万美元奖金;发现可访问Secure Enclave Processor保护的安全信息的缺陷,奖金为10万美元;发现能以内核权限执行任意代码的缺陷,奖金为5万美元;能在没有授权的情况下访问苹果服务器上iCloud账户数据的缺陷,奖金为5万美元;能访问沙盒进程、用户数据的缺陷,奖金为2.5万美元。
有媒体报告称,对于能越狱iPhone的全套缺陷,Zerodium等公司的出价高达150万美元。根据缺陷的价值,其他公司对iOS缺陷的出价也高达50万美元。这些公司称它们是守法经营,向考虑保护它们网络的机构、执法部门和情报部门出售零日安全缺陷。
研究人员也对向苹果报告安全缺陷持谨慎态度,因为这不利于他们自己的研究工作。iOS安全性能非常高,需要借助多个缺陷,才能利用深藏在操作系统中的其他缺陷。向苹果报告缺陷后,该缺陷将得到修正,会影响到他们的研究工作。
去年受邀参加一次有奖捉虫会议的安全研究人员,要求苹果提供专用iPhone,或“开发者设备”——与公开发售的型号相比它们受到的限制较少。这样的设备使研究人员在报告发现的安全缺陷的同时,能继续对iOS的研究。苹果拒绝向研究人员提供这类设备。(编译/霜叶)
新鲜有料的产业新闻、深入浅出的企业市场分析,轻松逗比的科技人物吐槽。
凤凰科技(ID: ifeng_tech),让科技更性感。