据科技媒体Verge报道,苹果公司在最近召开的Black Hat黑客安全大会上透露,公司正在筹划一项新的漏洞奖励方案——只要能找出苹果产品一切未被发现的技术漏洞,任何人都能换取公司提供的现金奖励 这项计划将在9月份正式实施,主要针对苹果最新一代的硬件设备及iOS最新版本。尽管苹果公司一直设有举报产品安全问题的热线电话,但这还是其第一次以金钱奖励的方式来“换取”产品缺陷信息。
为了获取真正有价值的产品安全信息,漏洞奖励方案很早就在技术圈里流行起来。Uber、菲亚特公司甚至美国国防部都在今年推出了类似计划。而Google、微软以及Facebook早在多年前就开始推行这一方案。Google甚至在去年为此支付了超过200万美元,其中大多是针对安卓系统中的漏洞。
而在国内,百度、奇虎360等公司也设立了漏洞悬赏机制,欢迎黑客们用此方法来赚钱。国内的网络安全专家tombkeeper甚至获得过微软安全挑战赛最高奖。
这么说来,苹果其实是少数没有设立这类悬赏计划的科技公司之一,处理各种bug仍然主要依赖于公司内部安全小组及保持合作关系的科研人员。但今年San Bernardino枪击案中苹果与FBI之间的“交战”历程(FBI让苹果解密罪犯手机,但被苹果回绝,后来却被第三方公司pojie了)却让此前的信息安全政策受到了许多批评——苹果自认为固若金汤的iPhone都被人pojie了,大概没有什么能比这更能羞辱苹果了。
不过,国内的程序员与苹果重度患者还不能开启对苹果产品的“疯狂吐槽”模式,因为这项新方案一开始将仅限于受到邀请的人士,例如技术领域一部分知名专家。但苹果公司强调,这项方案以后将会变得更加开放。如果非项目成员发现了苹果产品的一项重大漏洞,他们将会被邀请参与到项目中来。
如此来看,苹果的这套邀请系统似乎与我们常见的“漏洞悬赏计划”有很大的不同,但一直奉行保密文化的苹果却认为这对及时剔除虚假建议是非常必要的策略,也能够确保受信任的研究员得到公司的充分支持。
目前,该方案的奖励范围也受限于五个截然不同的漏洞类别。而最值钱的一类就是“安全启动固件”的脆弱性。这一部分直切苹果硬件保护要害,因此赏金也高达20万美元。一些小的奖励还包括“从Secure Enclave模块提取数据”“获取任意代码”“脱离某个沙箱进程”以及“未经授权获得iCloud账户数据”。有意思的是,一些漏洞也跟“翻qiang”有很大的关系。
|
发表评论