蘋果有獎捉蟲計劃遇尷尬 研究人員私下高價出售

蘋果公布有獎捉蟲計劃

據AppleInsider北京時間7月7日報道，由於安全人員不向蘋果報告發現的安全缺陷，而是在黑市上高價出售，蘋果的有獎捉蟲計劃開局不利。

在接受Motherboard採訪時，受邀參加蘋果有獎捉蟲計劃的研究人員表示，iOS安全缺陷價格太高，不願意報告給蘋果。

參與者不願意向蘋果報告發現的系統缺陷，原因是安全缺陷在黑市上價格更高，它們會影響進一步的研究工作。迄今為止，參與者尚未公開宣布獲得一筆獎勵。

Zimperium安全研究人員尼基亞斯·巴森(Nikias Bassen)表示，「如果把安全缺陷賣給其他人，安全研究人員可以獲得更多現金。如果查找系統缺陷的目的只是為了錢，研究人員就不會把發現的缺陷直接報告給蘋果。」

在Motherboard採訪的10名研究人員中，沒有1個人向蘋果提交報告。

蘋果在2016年黑帽大會上公布了有獎捉蟲計劃，目的是發現零日缺陷，增強系統安全性能。根據蘋果的計劃，發現與安全啟動固件組件有關的缺陷，研究人員可以獲得20萬美元獎金；發現可訪問Secure Enclave Processor保護的安全信息的缺陷，獎金為10萬美元；發現能以內核許可權執行任意代碼的缺陷，獎金為5萬美元；能在沒有授權的情況下訪問蘋果伺服器上iCloud賬戶數據的缺陷，獎金為5萬美元；能訪問沙盒進程、用戶數據的缺陷，獎金為2.5萬美元。

有媒體報告稱，對於能越獄iPhone的全套缺陷，Zerodium等公司的出價高達150萬美元。根據缺陷的價值，其他公司對iOS缺陷的出價也高達50萬美元。這些公司稱它們是守法經營，向考慮保護它們網路的機構、執法部門和情報部門出售零日安全缺陷。

研究人員也對向蘋果報告安全缺陷持謹慎態度，因為這不利於他們自己的研究工作。iOS安全性能非常高，需要藉助多個缺陷，才能利用深藏在操作系統中的其他缺陷。向蘋果報告缺陷后，該缺陷將得到修正，會影響到他們的研究工作。

去年受邀參加一次有獎捉蟲會議的安全研究人員，要求蘋果提供專用iPhone，或「開發者設備」——與公開發售的型號相比它們受到的限制較少。這樣的設備使研究人員在報告發現的安全缺陷的同時，能繼續對iOS的研究。蘋果拒絕向研究人員提供這類設備。