研究人员不愿给苹果报告漏洞 称赏金太少
- 07 月 07 日
- 中关村在线
- 4838
去年苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在黑帽安全大会(Black Hat Security Conference)上宣布,该公司将于 9 月推出 Bug Bounty Program 漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励,不过这个计划仅面向受邀请的研究人员。如今这个计划推出快一年了,成效如何呢?
Motherboard 的一系列采访显示,受邀研究员认为iOS 漏洞真的非常值钱。有些研究员即便发现了漏洞也不会报告给苹果,因为这些漏洞在黑市上可以卖到更高的价钱,或者是因为苹果禁止他们在操作系统的某些领域进行工作。目前受邀的研究人员中还没有公开表示自己拿过苹果的赏金。
Zimperium 安全研究员 Nikias Bassen 表示:“把漏洞卖给其他人可以得到更高的价格。如果你就是靠这个赚钱的,那你是不会直接把漏洞报告给苹果。”
Motherboard 一共访问了 10 名安全研究人员,他们中没有人向苹果报告过发现漏洞。
苹果的漏洞赏金计划旨在鼓励安全研究人员查找并报告那些可能影响苹果用户的软件安全缺陷。苹果将根据黑客发现漏洞和缺陷的严重程度来决定最终的奖金金额,最高奖金将高达20万美元。此外,尽管存在不同类型的安全漏洞,苹果将根据漏洞报告的准确性;问题的新颖性及泄露用户数据的可能性来给予相应的赏金。
相比之下,像 Zerodium 这样财大气粗的公司的赏金就很高了。比如一名黑客由于发现了一个 iOS 9 系统的 0day 漏洞赢得了高达 100 万美元的奖金。一般情况下,Zerodium 对 iOS 0day 漏洞的报价最高也就是 50 万美元。去年 iOS 10 一发布,他们就宣布愿意支付 150 万美元来购买具有同样功能的 0day 漏洞。
另外研究人员担心将漏洞报告给苹果会影响自己的研究,断了自己的财路。因为 iOS 确实被保护得很好,有时候可能需要好几个漏洞才会发现系统深处的其他漏洞。把漏洞报告,无疑苹果会全部封堵这些漏洞,这样他们研究 iOS 的潜在途径就少了。
受邀的研究人员曾向苹果申请特殊 iPhone 或者“开发者设备”,因为这类设备的限制会比较少,但是苹果拒绝提供此类设备。