search
蘋果有獎捉蟲計劃遇尷尬 研究人員私下高價出售

蘋果有獎捉蟲計劃遇尷尬 研究人員私下高價出售

蘋果公布有獎捉蟲計劃

據AppleInsider北京時間7月7日報道,由於安全人員不向蘋果報告發現的安全缺陷,而是在黑市上高價出售,蘋果的有獎捉蟲計劃開局不利。

在接受Motherboard採訪時,受邀參加蘋果有獎捉蟲計劃的研究人員表示,iOS安全缺陷價格太高,不願意報告給蘋果。

參與者不願意向蘋果報告發現的系統缺陷,原因是安全缺陷在黑市上價格更高,它們會影響進一步的研究工作。迄今為止,參與者尚未公開宣布獲得一筆獎勵。

Zimperium安全研究人員尼基亞斯·巴森(Nikias Bassen)表示,「如果把安全缺陷賣給其他人,安全研究人員可以獲得更多現金。如果查找系統缺陷的目的只是為了錢,研究人員就不會把發現的缺陷直接報告給蘋果。」

在Motherboard採訪的10名研究人員中,沒有1個人向蘋果提交報告。

蘋果在2016年黑帽大會上公布了有獎捉蟲計劃,目的是發現零日缺陷,增強系統安全性能。根據蘋果的計劃,發現與安全啟動固件組件有關的缺陷,研究人員可以獲得20萬美元獎金;發現可訪問Secure Enclave Processor保護的安全信息的缺陷,獎金為10萬美元;發現能以內核許可權執行任意代碼的缺陷,獎金為5萬美元;能在沒有授權的情況下訪問蘋果伺服器上iCloud賬戶數據的缺陷,獎金為5萬美元;能訪問沙盒進程、用戶數據的缺陷,獎金為2.5萬美元。

有媒體報告稱,對於能越獄iPhone的全套缺陷,Zerodium等公司的出價高達150萬美元。根據缺陷的價值,其他公司對iOS缺陷的出價也高達50萬美元。這些公司稱它們是守法經營,向考慮保護它們網路的機構、執法部門和情報部門出售零日安全缺陷。

研究人員也對向蘋果報告安全缺陷持謹慎態度,因為這不利於他們自己的研究工作。iOS安全性能非常高,需要藉助多個缺陷,才能利用深藏在操作系統中的其他缺陷。向蘋果報告缺陷后,該缺陷將得到修正,會影響到他們的研究工作。

去年受邀參加一次有獎捉蟲會議的安全研究人員,要求蘋果提供專用iPhone,或「開發者設備」——與公開發售的型號相比它們受到的限制較少。這樣的設備使研究人員在報告發現的安全缺陷的同時,能繼續對iOS的研究。蘋果拒絕向研究人員提供這類設備。

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23269次喜歡
留言回覆
回覆
精彩推薦