IT思维

文章页右侧顶部广告

苹果最高 20 万奖金推出漏洞报告赏金计划

文/Kate Conger

科技公司掌握着打开我们一些最私密信息的钥匙,比如说支付信息、健康档案、跟恋人的聊天记录,以及家人的照片集。随着我们交出的私人数据越来越多,公司通过保障数据安全来赢得我们信任这件事也就变得越来越重要了。

苹果最高 20 万奖金推出漏洞报告赏金计划

在过去的 5 年中,大多数主要科技公司都推出了漏洞赏金计划,欢迎黑客提交漏洞报告并以现金给予奖励。一些不具备技术专长来自营赏金计划的公司也把这项重要的安全保障工作外包了出去。

但多年以来,苹果在这方面一直拒不作为。虽然在苹果讲述的故事中,安全一直是重要的组成部分,但该公司拒绝向漏洞报告者支付奖金,这常常让安全研究人员感到沮丧。这一切在周四发生了改变,苹果安全工程和架构的负责人伊万·科斯蒂奇(Ivan Krstic)在黑帽大会(Black Hat)上向与会者宣布,该公司将正式向那些在其产品中发现漏洞的安全研究人员支付最高 20 万美元的奖金。

科斯蒂奇公布的计划是苹果一项正在进行当中的工作的组成部分,即消除其 安全架构的神秘性 ,并向那些希望帮助改进苹果系统安全性的黑客、安全研究人员和密码学家打开大门。即便是科斯蒂奇在黑帽大会上发表讲话这件事——他还谈到了 HomeKit、AutoUnlock 以及 iCloud Keychain 的安全特性——对苹果来说也是有些不同寻常的。苹果已经有 4 年时间没有派代表出席黑帽大会了,该公司通常会在自己的全球开发者大会(WWDC)上发表安全方面的公告。

“苹果跟安全研究人员的关系历来不佳。”里奇·莫古尔(Rich Mogull)说道,他是安全研究公司Securosis 的首席执行官,也是一位追踪 iOS 安全性的安全分析师,“在过去的 10 年中,那已经发生了很大的变化,而且是朝着积极的方向发展。”莫古尔表示,这项漏洞赏金计划是在正确方向上迈出的又一步。

在过去,苹果为不搞赏金计划给出的理由是,政府和黑市都在出高价竞购安全漏洞。这个理由的逻辑是这样的:如果你的出价总要被另一个买家超过,那么为什么还要出价呢?虽然 20 万美元无疑是一笔很高的奖金——在各家公司的漏洞奖金计划中,20 万美元也属于最高之列——但它还是无法超过执法部门或黑市能够给予漏洞报告者的价钱。有报道称,美国联邦调查局(FBI)支付了近 100 万美元 用于购买漏洞,从而破解了赛义德·法鲁克(Syed Farook)所使用的 iPhone,此人是去年 12 月圣贝纳迪诺射击案的嫌犯之一。

一项漏洞赏金计划不大可能吸引到那些只想通过安全漏洞大赚一笔的黑客。莫古尔说,对那些只想着钱的人,苹果可能永远填不满无底洞。但是,对那些希望产生影响的人,得到苹果开具的支票可能改变一切。“这项计划的意义就是激励善意的安全研究。”莫古尔解释道。

苹果高管对于漏洞奖金计划效用的想法发生了改变,这在一定程度上是基于该公司内部渗透测试人员的报告,这些人整天都在尝试破解苹果的产品。苹果表示,公司内部测试人员和类似的外部安全研究人员已经越来越难找到漏洞,所以现在是时候开始提供更多的激励来做这件事情了。

“苹果在内部显然花费了大量时间来做这个,他们让最优秀的人手查找漏洞,但后者却在说,‘我们很难找到这些东西’,以及‘为了让安全性的会话不断演进下去,打破我们的藩篱将有所帮助’。”消费技术研究人员本·巴加林(Ben Bajarin)说,“这是他们之前所做安全工作的一种延展。”

寻找苹果安全漏洞并加以利用的难度已经变得更大了,在这种情况下,该公司看到了激励研究人员做更深入工作的需求。漏洞赏金计划 HackerOne 的联合创始人亚历克斯·莱斯(Alex Rice)表示,向开发者打开大门可能为苹果带来收益。

“在推出漏洞奖金计划的公司当中,他们都找到了之前自己不知道的新漏洞。”莱斯说,“如果一家公司推出了漏洞奖金计划,他们就去掉了那些容易摘掉的果子,他们遵循了最好的做法,但他们知道那还不够。”

苹果的漏洞奖金计划是邀请制的,该计划仅对那些之前向该公司报告过重要漏洞的研究人员开放。苹果就自己的漏洞奖金计划咨询了其他公司,最终认定,如果向公众开放这项计划,那么大量涌入的漏洞报告可能掩盖那些真正的高危漏洞。

然而,如果新的研究人员提供了有用的漏洞报告,苹果也不会拒绝,该公司打算慢慢扩大这项计划。

苹果的漏洞奖金计划将在 9 月份上线,它对五大类漏洞的奖励有所不同:

  • 安全引导固件中的漏洞:最高 20 万美元。
  • 能够从 Secure Enclave 中提取机密信息的漏洞:最高 10 万美元。
  • 任意代码执行漏洞或者是让恶意代码拥有内核权限的漏洞:最高 5 万美元。
  • 能够访问苹果服务器上 iCloud 账户数据的漏洞:最高 5 万美元。
  • 能够在沙盒之外访问用户数据的漏洞:最高 2.5 万美元。

要想有资格拿到奖金,研究人员将需要提供在最新版 iOS 和硬件上完成的概念验证。虽然苹果已经给出了每一类漏洞的最高奖金数额,但该公司将基于以下几个因素确定具体的发放金额:漏洞报告的清晰度;问题的新颖度以及影响用户的可能性;以及对漏洞加以利用所需的用户交互层级。

这个故事还有一个有不同寻常的转折,苹果打算鼓励研究人员把自己获得的奖金捐给慈善机构。如果苹果认可研究人员选定的慈善机构,该公司将捐出跟奖金数额相同的善款——所以,20 万美元的奖金有可能变成 40 万美元的善款。

翻译:王灿均(@何无鱼)

内容由 TechCrunch中国 提供授权发布,未经许可谢绝转载。

IT思维

IT思维(itsiwei.com)是互联网首个定位在科技与电商“思维”韬略的平台,我们时刻关注互联网电商行业新动向; 诚邀行业资深从业者加入“思维客家族”!

发表留言

Return to Top ▲Return to Top ▲