Apple已开始为iPhone漏洞利用黑客支付费用

  • A+
所属分类:网络安全新闻

2018年,苹果公司的安全负责人宣布了苹果移动操作系统iOS 的漏洞赏金计划,让世界上最大的安全会议之一的与会者感到惊讶。

最初,苹果公司努力吸引研究人员,并说服他们报告高价值的漏洞。对于研究人员来说,主要的问题是他们发现的错误对于向苹果公司报告来说太有价值,尽管奖励高达20万美元。GrayShift和Azimuth等公司利用Apple产品中的漏洞完成了整个业务,而其他研究人员则不想报告错误,因此他们可以继续在iOS上进行研究。

但两年后,一些研究人员终于报告了苹果公司的漏洞,该公司已经开始向一些研究人员提供奖励,主板已经了解到。

几乎所有主要的科技公司都有多年的错误奖励。这些计划旨在鼓励独立安全研究人员和友好的黑客提醒公司产品中的缺陷或漏洞以换取奖励,有时这些奖励有六个数字。然而,与其他公司相反,Apple在2016年宣布之后并未透露或讨论赏金计划的任何细节。

移动安全公司Zimperium的研究员Adam Donefeld表示,他已经向苹果公司提交了几个漏洞并收到了该公司的付款。Donefeld不是第一批安全研究人员的一员,他们被Apple亲自邀请访问库比蒂诺校区并要求加入该计划。但在提交了一些错误之后,Donefeld告诉我,一名Apple员工问他是否想要通过电话参与赏金计划。

另一名研究员要求保持匿名,因为他们担心他们与苹果公司的关系恶化,他们说他们已经提交了一些错误并获得了奖金,但尚未支付。

我今年没有得到报酬,因为我还在等待去年的付款,研究人员告诉我。但是,是的,对于那些以前的错误,他们给了我CVE [识别漏洞的标准化代码]。我确认他们有资格获得奖金,并确认金额。

另外两名研究人员告诉主板,他们也对该计划感到担忧或遇到麻烦。有人说他们没有为他们提交的错误付钱(主板无法独立确认研究人员没有得到付款),另一个人说他们甚至在被邀请之后根本不想参与其中。

在我听到其他人的糟糕经历后,我从未提交任何内容,另一名也要求保持匿名的研究员表示。

研究人员解释说,他发现了一个漏洞,但是几个月之后,当他开发漏洞时,已有其他人报告过。在他看来,该计划对苹果来说并不是很顺利。

他告诉我,我会猜测并且说Ian Beer对iOS内核安全性的影响要大于他们通过该程序获得的所有提交内容。

Beer是一名为Google Project Zero工作的黑客,Google Project Zero是一个研究人员团队,负责查找各种设备和服务中的漏洞。在今年的黑帽大会上,比尔谈到了发现iOS中的漏洞,并要求苹果公司向国际特赦组织捐赠近250万美元的无偿漏洞奖金。

Apple已开始为iPhone漏洞利用黑客支付费用

目前,Apple似乎对bug赏金计划的进展感到高兴。

从安全方面和软件工程方面来看,该计划有很多冠军,一位熟悉该计划的苹果员工说,他不愿透露姓名,因为他没有被授权与新闻界交谈。有一个关于制定正式赏金计划和团队来管理该计划的讨论。

在哲学上有支持它,他说,并补充说,已经有一些支出。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!