研究人员不愿给苹果报告漏洞 称赏金太少
去年苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在黑帽安全大会(Black Hat Security Conference)上宣布,该公司将于 9 月推出 Bug Bounty Program 漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励,不过这个计划仅面向受邀请的研究人员。如今这个计划推出快一年了,成效如何呢?
Motherboard 的一系列采访显示,受邀研究员认为iOS 漏洞真的非常值钱。有些研究员即便发现了漏洞也不会报告给苹果,因为这些漏洞在黑市上可以卖到更高的价钱,或者是因为苹果禁止他们在操作系统的某些领域进行工作。目前受邀的研究人员中还没有公开表示自己拿过苹果的赏金。
Zimperium 安全研究员 Nikias Bassen 表示:“把漏洞卖给其他人可以得到更高的价格。如果你就是靠这个赚钱的,那你是不会直接把漏洞报告给苹果。”
Motherboard 一共访问了 10 名安全研究人员,他们中没有人向苹果报告过发现漏洞。
苹果的漏洞赏金计划旨在鼓励安全研究人员查找并报告那些可能影响苹果用户的软件安全缺陷。苹果将根据黑客发现漏洞和缺陷的严重程度来决定最终的奖金金额,最高奖金将高达20万美元。此外,尽管存在不同类型的安全漏洞,苹果将根据漏洞报告的准确性;问题的新颖性及泄露用户数据的可能性来给予相应的赏金。
相比之下,像 Zerodium 这样财大气粗的公司的赏金就很高了。比如一名黑客由于发现了一个 iOS 9 系统的 0day 漏洞赢得了高达 100 万美元的奖金。一般情况下,Zerodium 对 iOS 0day 漏洞的报价最高也就是 50 万美元。去年 iOS 10 一发布,他们就宣布愿意支付 150 万美元来购买具有同样功能的 0day 漏洞。
另外研究人员担心将漏洞报告给苹果会影响自己的研究,断了自己的财路。因为 iOS 确实被保护得很好,有时候可能需要好几个漏洞才会发现系统深处的其他漏洞。把漏洞报告,无疑苹果会全部封堵这些漏洞,这样他们研究 iOS 的潜在途径就少了。
受邀的研究人员曾向苹果申请特殊 iPhone 或者“开发者设备”,因为这类设备的限制会比较少,但是苹果拒绝提供此类设备。
-
苹果修复漏洞 阻止未经授权收集传感器数据
英国纽卡斯尔大学研究员日前公开了一份研究结果。他们通过研究发现网页浏览器无需获得用户许可即可收集大部分传感器数据,甚至可以根据其中的移动数据来判断用户在设备上做什么。通过分析,它只要一次就能够猜测出 4 位 PIN 码,准确率高达 70%,而第五次猜测之后准确率可以达到 100%。
-
苹果爆新漏洞:FaceTime通话或能被窃听
苹果近日披露,新发现的计算机漏洞能够让攻击者窃听用户的FaceTime通话。
-
macOS又爆严重漏洞 苹果系统这是怎么了?
在不到两个月前,由用户发现了 macOS 中一个低级的严重漏洞,允许任何人以 root 权限登陆你的设备。苹果公司随后发表道歉并迅速修复了这一漏洞。但这事还没过去多久,就在今天又有用户发现了一个类似的——很弱智但不算太严重的 macOS 密码漏洞。
-
加油吧,少年!苹果20万美元悬赏通缉漏洞
在今年的黑帽大会上苹果公司安全工程师伊万·克里斯迪克(Ivan Krstic)宣布启动漏洞奖励计划,苹果将会给任何在苹果公司软件中发现重大 bug 和安全漏洞的个人提供奖励。
-
因近期芯片漏洞 苹果在美国遭遇首起集体诉讼
北京时间1月16日上午消息,Meltdown和Spectre漏洞几乎影响到所有电脑和其他设备,而苹果也在美国遭遇了与此有关的的第一起诉讼。