白帽子興趣消退:「泥濘中」的蘋果漏洞賞金計劃
蘋果發布漏洞獎勵計劃近一年後,卻鮮有聽聞
已有白帽黑客領取漏洞獎勵,這種「怪現象」開始導致
一些常為蘋果公司提交高價值漏洞的安全研究人員開始保留漏洞而不提交官方。
蘋果漏洞獎勵計劃之「怪圈」
iPhone手機的安全性確實很高,但也很難發現其中的漏洞,這最終導致灰色市場上漏洞價格持續上漲,而這種情況的發生,就是因為這些漏洞非常有價值,安全研究人員通常不願意報告漏洞問題,主要因為提交一些漏洞可能會影響他們進行更多的研究。
曾任NSA和Synack研究員的Patrick Wardle目前正從事MacOS系統研究工作,同時被邀請參加蘋果的漏洞賞金計劃。他表示:
「向蘋果報告的漏洞都非常有價值,如果你只是為了賺錢,你不會直接提交給蘋果」
除了Wardle和Bassen之外,同時又對八個匿名接受採訪的賞金獵人做了採訪,他們都對計劃細節之處做出了個人看法,但他們都表示還沒有向蘋果公司提交漏洞,而目前他們都對除了自己以外誰還擁有漏洞尚不清楚,而蘋果也未就此事做出任何評論。
2016年9月,蘋果目光轉向沃爾特(美國地名),並邀請知名iPhone越獄大師Luca Todesco以及一個被選拔好的小型白帽子團隊到蘋果Cupertino總部。在他們逗留期間,蘋果邀請這些安全研究人員加入漏洞賞金計劃,蘋果安全研究人員又做出了一些關於此類主題的演講,並挽留他們吃晚餐,之後又和他們聊天,討論工作和遇到的問題。據當時出席的兩位消息來源人士稱,當時蘋果公司軟體工程高級副總裁Craig Federighi也出席了這次活動,並表示歡迎他們的到來。
這是一個很大的轉變,有不少安全研究人員和專家長期以來一直抱怨稱,在所有技術巨頭中蘋果一直存在一個非常大的困境——沒有漏洞賞金計劃,
微軟、谷歌、Facebook已經在這方面有多年的努力,對於非惡意目的且有選擇性報告漏洞的白帽黑客而言,豐厚的獎勵也是很有必要的。
一名之前曾擔任蘋果安全方面研究的員工,在不披露協議條件且匿名情況下向我透漏稱:
「蘋果不會粗心地處理任何事——包括漏洞獎勵計劃的流程及執行,必須沒有任何風險情況。他們是完美主義者。」
去年,蘋果抵制了一個命令,即協助美國聯邦調查局解鎖加州聖伯納迪諾搶手的iPhone手機,該槍手曾在2015年12月造成14人死亡,22人受傷,蘋果曾就此事和調查局周旋數月,但最終聯邦調查局解鎖了手機,而這一切並不是在蘋果的協助下完成的。相反的是,聯邦調查局支付了一名未透露姓名獨立研究人員昂貴的費用。也許正如紐約時報所描述的那樣,出於某種原因黑客向調查局出售了該漏洞,而並未向蘋果提交。
雖然該計劃公開公布的,但和蘋果發布的其它事情一樣該計劃僅限於內部邀請狀態。
從克斯迪克公布的內容里可以知道,接受邀請的研究人員有機會從iOS和MacOS的漏洞中獲得25000美元到20萬美元不等的獎勵。
這聽起來好像有很多錢的樣子,但我們討論其中一些安全研究人員沒有向蘋果提交漏洞的原因之一,就是不清楚漏洞獎勵這麼高,在私人盈利以及灰色的市場中,例如Zerodium這樣的公司從研究人員那裡買來漏洞並將其賣給客戶,其中可以實現越獄iPhone的多個漏洞的方法價值150萬美元。另外一家公司Exodus Intelligence表示向其提交iOS漏洞可獲得高達五十萬美元的資金。這些公司聲稱僅向公司售賣,以幫助他們保護其網路,又或協助執法及情報機構進入有較高價值的目標。
有些黑客也可能會充分參與蘋果的漏洞獎勵計劃,並選擇不公開討論已提交的漏洞。但蘋果要求在安全研究人員參與計劃之前簽署協議,卻沒有嚴格禁止他們討論他們發現的漏洞。參與該計劃的一個研究人員和我說,協議主要是讓研究人員提交後一直等待,一直到問題解決,而在這個期間可以詳細和蘋果方面詳細闡述漏洞問題,通常情況下,研究人員很希望獲得公眾對他們的發現的認可,無論他們想要顯示能力,還是為了今後自己的履歷能增添色彩,即成為世界上能夠攻破最安全軟體黑客之一。
評論對此事意見不一
曾經對iOS安全性進行系統研究的專家Guido解釋稱,蘋果系統非常安全,即使你花費數周或數月時間查找,發現價值二十萬美元的漏洞也不太可能。
由於iOS系統是一種比較複雜、牢固、安全的系統,需要對其進行長時間研究和觀察,而這就需要多個補丁、零日漏洞或一次完美的越獄。換句話說,需要從幾個關聯的漏洞中才能發現更深層次的漏洞。而這也解釋了,為什麼有些人喜歡保留他們的漏洞,繼續做研究,而不是讓自己獲得數千美元的獎勵。
研究人員在訪問Cupertino總部的時候,要求蘋果安全團隊提供不具有特殊限制的iPhone,從而更容易地對其進行攻擊測試。這些設備將具有一些例如沙盒、禁用功能,可以使研究人員更好的完成研究性任務,一位研究人員將其描述為「開發者設備」。
可惜的是,目前據其中三位研究人員的說法,蘋果並不願意提供這些特殊設備。
「蘋果再次嘗試了一些新鮮的東西,並為漏洞提供巨額報酬,但他們沒有正確的理解漏洞賞金市場,也不了解白帽黑客們幫助他們的動機。在某種程度上,漏洞的提交數量減少,一方面應該被視為iPhone的安全性的證明,另一方面也說明了蘋果需要在信息共享方面做的更好
*參考來源:motherboard,飯糰君編譯,轉載請註明來自FreeBuf.COM
※一款短小精緻的SSH後門分析
※維基解密每周一更:CIA三款工具齊上陣,Mac和Linux用戶頻躺槍
TAG:FreeBuf |
※地瓜搗碎加入蘋果,香甜水果糊寶寶最愛!
※紅壽星杏&蘋果白杏
※《果欄中的江湖大嫂》岑麗香做老師錯漏百出 還話蘋果有蛋白質
※蘋果智能音箱竟帶魔法攻擊?可在木質桌面上留下白色圓環永久痕迹
※寶寶又紅又乾的蘋果臉,怎樣才能恢復嫩白呢?
※寶寶腹瀉輔食——蘋果泥 好吃又開胃
※蘋果中的極品,富含奶油香氣的黃金富士,你吃過嗎?
※春天來了,這些水果花陸續綻放,梨花、杏花、蘋果花你能分清嗎?
※洗蘋果時冒「血珠」?別再用清水洗水果了,越洗越臟!
※水果,蘋果、小西紅柿、葡萄
※蛇果&蘋果、櫻桃&車厘子……這些相似水果究竟是不是一種?
※章子怡把汪峰土味女兒「小蘋果」穿搭大改造,中國好後媽!
※爐石傳說:秋日爆牌賊、惡魔蘋果惡毒龍牧
※聞香識蘋果,吃一口奶油香氣的黃金富士,再也不想吃其他蘋果!
※內涵段子:這蘋果是土裡挖的還是樹上摘的?
※一本正經的紅蘋果和「武裝」金魚
※新一代蘋果玻璃手機殼:美的一塌糊塗,你覺得呢?
※蘋果肉桂撻配香草奶油
※誤吞櫻桃核竟會中毒?真不是嚇唬你,櫻桃、蘋果、梨等果仁的確有毒!
※蘋果頭髮型圖片 可愛俏皮清新范