蘋果公布有獎捉蟲計劃

據(jù)AppleInsider北京時間7月7日報道，由于安全人員不向蘋果報告發(fā)現(xiàn)的安全缺陷，而是在黑市上高價出售，蘋果的有獎捉蟲計劃開局不利。

在接受Motherboard采訪時，受邀參加蘋果有獎捉蟲計劃的研究人員表示，iOS安全缺陷價格太高，不愿意報告給蘋果。

參與者不愿意向蘋果報告發(fā)現(xiàn)的系統(tǒng)缺陷，原因是安全缺陷在黑市上價格更高，它們會影響進一步的研究工作。迄今為止，參與者尚未公開宣布獲得一筆獎勵。

Zimperium安全研究人員尼基亞斯·巴森(Nikias Bassen)表示，“如果把安全缺陷賣給其他人，安全研究人員可以獲得更多現(xiàn)金。如果查找系統(tǒng)缺陷的目的只是為了錢，研究人員就不會把發(fā)現(xiàn)的缺陷直接報告給蘋果。”

在Motherboard采訪的10名研究人員中，沒有1個人向蘋果提交報告。

蘋果在2016年黑帽大會上公布了有獎捉蟲計劃，目的是發(fā)現(xiàn)零日缺陷，增強系統(tǒng)安全性能。根據(jù)蘋果的計劃，發(fā)現(xiàn)與安全啟動固件組件有關(guān)的缺陷，研究人員可以獲得20萬美元獎金；發(fā)現(xiàn)可訪問Secure Enclave Processor保護的安全信息的缺陷，獎金為10萬美元；發(fā)現(xiàn)能以內(nèi)核權(quán)限執(zhí)行任意代碼的缺陷，獎金為5萬美元；能在沒有授權(quán)的情況下訪問蘋果服務(wù)器上iCloud賬戶數(shù)據(jù)的缺陷，獎金為5萬美元；能訪問沙盒進程、用戶數(shù)據(jù)的缺陷，獎金為2.5萬美元。

有媒體報告稱，對于能越獄iPhone的全套缺陷，Zerodium等公司的出價高達150萬美元。根據(jù)缺陷的價值，其他公司對iOS缺陷的出價也高達50萬美元。這些公司稱它們是守法經(jīng)營，向考慮保護它們網(wǎng)絡(luò)的機構(gòu)、執(zhí)法部門和情報部門出售零日安全缺陷。

研究人員也對向蘋果報告安全缺陷持謹(jǐn)慎態(tài)度，因為這不利于他們自己的研究工作。iOS安全性能非常高，需要借助多個缺陷，才能利用深藏在操作系統(tǒng)中的其他缺陷。向蘋果報告缺陷后，該缺陷將得到修正，會影響到他們的研究工作。

去年受邀參加一次有獎捉蟲會議的安全研究人員，要求蘋果提供專用iPhone，或“開發(fā)者設(shè)備”——與公開發(fā)售的型號相比它們受到的限制較少。這樣的設(shè)備使研究人員在報告發(fā)現(xiàn)的安全缺陷的同時，能繼續(xù)對iOS的研究。蘋果拒絕向研究人員提供這類設(shè)備。