賞金太少 研究人員不願給蘋果報告漏洞

去年蘋果安全工程師伊萬·克里斯迪克(Ivan Krstic)在黑帽安全大會(Black Hat Security Conference)上宣布，該公司將於 9 月推出 Bug Bounty Program 漏洞賞金計劃，將為發現軟體重大漏洞和缺陷的個人提供現金獎勵，不過這個計劃僅面向受邀請的研究人員。如今這個計劃推出快一年了，成效如何呢？

Motherboard 的一系列採訪顯示，受邀研究員認為iOS 漏洞真的非常值錢。有些研究員即便發現了漏洞也不會報告給蘋果，因為這些漏洞在黑市上可以賣到更高的價錢，或者是因為蘋果禁止他們在操作系統的某些領域進行工作。目前受邀的研究人員中還沒有公開表示自己拿過蘋果的賞金。

Zimperium 安全研究員 Nikias Bassen 表示：「把漏洞賣給其他人可以得到更高的價格。如果你就是靠這個賺錢的，那你是不會直接把漏洞報告給蘋果。」

Motherboard 一共訪問了 10 名安全研究人員，他們中沒有人向蘋果報告過發現漏洞。

蘋果的漏洞賞金計劃旨在鼓勵安全研究人員查找並報告那些可能影響蘋果用戶的軟體安全缺陷。蘋果將根據黑客發現漏洞和缺陷的嚴重程度來決定最終的獎金金額，最高獎金將高達20萬美元。此外，儘管存在不同類型的安全漏洞，蘋果將根據漏洞報告的準確性；問題的新穎性及泄露用戶數據的可能性來給予相應的賞金。

相比之下，像 Zerodium 這樣財大氣粗的公司的賞金就很高了。比如一名黑客由於發現了一個 iOS 9 系統的 0day 漏洞贏得了高達 100 萬美元的獎金。一般情況下，Zerodium 對 iOS 0day 漏洞的報價最高也就是 50 萬美元。去年 iOS 10 一發布，他們就宣布願意支付 150 萬美元來購買具有同樣功能的 0day 漏洞。

另外研究人員擔心將漏洞報告給蘋果會影響自己的研究，斷了自己的財路。因為 iOS 確實被保護得很好，有時候可能需要好幾個漏洞才會發現系統深處的其他漏洞。把漏洞報告，無疑蘋果會全部封堵這些漏洞，這樣他們研究 iOS 的潛在途徑就少了。

受邀的研究人員曾向蘋果申請特殊 iPhone 或者「開發者設備」，因為這類設備的限制會比較少，但是蘋果拒絕提供此類設備