当前位置:主页 > 科技新闻 > 企业动态 >

赏金太少 研究人员不愿给苹果报告漏洞

2017-07-08 14:59 太平新闻网 点击次数 :

 

  去年苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在黑帽安全大会(Black Hat Security Conference)上宣布,该公司将于 9 月推出 Bug Bounty Program 漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励,不过这个计划仅面向受邀请的研究人员。如今这个计划推出快一年了,成效如何呢?

  Motherboard 的一系列采访显示,受邀研究员认为iOS 漏洞真的非常值钱。有些研究员即便发现了漏洞也不会报告给苹果,因为这些漏洞在黑市上可以卖到更高的价钱,或者是因为苹果禁止他们在操作系统的某些领域进行工作。目前受邀的研究人员中还没有公开表示自己拿过苹果的赏金。

  Zimperium 安全研究员 Nikias Bassen 表示:“把漏洞卖给其他人可以得到更高的价格。如果你就是靠这个赚钱的,那你是不会直接把漏洞报告给苹果。”

  Motherboard 一共访问了 10 名安全研究人员,他们中没有人向苹果报告过发现漏洞。

  苹果的漏洞赏金计划旨在鼓励安全研究人员查找并报告那些可能影响苹果用户的软件安全缺陷。苹果将根据黑客发现漏洞和缺陷的严重程度来决定最终的奖金金额,最高奖金将高达20万美元。此外,尽管存在不同类型的安全漏洞,苹果将根据漏洞报告的准确性;问题的新颖性及泄露用户数据的可能性来给予相应的赏金。

  相比之下,像 Zerodium 这样财大气粗的公司的赏金就很高了。比如一名黑客由于发现了一个 iOS 9 系统的 0day 漏洞赢得了高达 100 万美元的奖金。一般情况下,Zerodium 对 iOS 0day 漏洞的报价最高也就是 50 万美元。去年 iOS 10 一发布,他们就宣布愿意支付 150 万美元来购买具有同样功能的 0day 漏洞。

  另外研究人员担心将漏洞报告给苹果会影响自己的研究,断了自己的财路。因为 iOS 确实被保护得很好,有时候可能需要好几个漏洞才会发现系统深处的其他漏洞。把漏洞报告,无疑苹果会全部封堵这些漏洞,这样他们研究 iOS 的潜在途径就少了。

  受邀的研究人员曾向苹果申请特殊 iPhone 或者“开发者设备”,因为这类设备的限制会比较少,但是苹果拒绝提供此类设备。

(责任编辑:admin)
文章人气:
  • 银盛泰集团董事长任军
    银盛泰 集团董事长、总经理 任军 先生接受专访 一直将我们是民营企业的说法挂在嘴边,...
    银盛泰集团董事长任军:2017突破百亿,银盛泰要做山东地产领跑者
  • 麦当劳要求全球肉鸡供
    麦当劳要求全球肉鸡供应商逐步停止使用人类抗生素,中国难以与之同步,美国快餐连锁巨...
    麦当劳要求全球肉鸡供应商逐步停止使用人类抗生素,中国难以与之同步
  • 法国海运公司(CMA-CGM
    法国海运公司(CMA-CGM)与中国造船公司签署9艘2.2万TEU级约96亿人民币订单。对此,韩国...
    法国海运公司(CMA-CGM)与中国造船公司签署9艘2.2万TEU级约96亿人民币订单
  • 檬感觉休闲饮品店的经
    租金会有很大出入,有时甚至相差十几倍。“团租”方式经济实惠。目前,十几平方米的饮...
    檬感觉休闲饮品店的经营技巧
首页 | 新闻 | 财经 | 军事 | 百科 | 科技 | 数码 | 汽车 | 游戏 | 娱乐 | 体育 | 文化 | 教育 | 房产 | 旅游 | 健康 | 女性 | 明星 | 美女