白帽子興趣消退：「泥濘中」的蘋果漏洞賞金計劃

新聞 07-31

蘋果發布漏洞獎勵計劃近一年後，卻鮮有聽聞

已有白帽黑客領取漏洞獎勵，這種「怪現象」開始導致

一些常為蘋果公司提交高價值漏洞的安全研究人員開始保留漏洞而不提交官方。

蘋果漏洞獎勵計劃之「怪圈」

iPhone手機的安全性確實很高，但也很難發現其中的漏洞，這最終導致灰色市場上漏洞價格持續上漲，而這種情況的發生，就是因為這些漏洞非常有價值，安全研究人員通常不願意報告漏洞問題，主要因為提交一些漏洞可能會影響他們進行更多的研究。

曾任NSA和Synack研究員的Patrick Wardle目前正從事MacOS系統研究工作，同時被邀請參加蘋果的漏洞賞金計劃。他表示：

「向蘋果報告的漏洞都非常有價值，如果你只是為了賺錢，你不會直接提交給蘋果」

除了Wardle和Bassen之外，同時又對八個匿名接受採訪的賞金獵人做了採訪，他們都對計劃細節之處做出了個人看法，但他們都表示還沒有向蘋果公司提交漏洞，而目前他們都對除了自己以外誰還擁有漏洞尚不清楚，而蘋果也未就此事做出任何評論。

2016年9月，蘋果目光轉向沃爾特（美國地名），並邀請知名iPhone越獄大師Luca Todesco以及一個被選拔好的小型白帽子團隊到蘋果Cupertino總部。在他們逗留期間，蘋果邀請這些安全研究人員加入漏洞賞金計劃，蘋果安全研究人員又做出了一些關於此類主題的演講，並挽留他們吃晚餐，之後又和他們聊天，討論工作和遇到的問題。據當時出席的兩位消息來源人士稱，當時蘋果公司軟體工程高級副總裁Craig Federighi也出席了這次活動，並表示歡迎他們的到來。

這是一個很大的轉變，有不少安全研究人員和專家長期以來一直抱怨稱，在所有技術巨頭中蘋果一直存在一個非常大的困境——沒有漏洞賞金計劃，

微軟、谷歌、Facebook已經在這方面有多年的努力，對於非惡意目的且有選擇性報告漏洞的白帽黑客而言，豐厚的獎勵也是很有必要的。

一名之前曾擔任蘋果安全方面研究的員工，在不披露協議條件且匿名情況下向我透漏稱：

「蘋果不會粗心地處理任何事——包括漏洞獎勵計劃的流程及執行，必須沒有任何風險情況。他們是完美主義者。」

去年，蘋果抵制了一個命令，即協助美國聯邦調查局解鎖加州聖伯納迪諾搶手的iPhone手機，該槍手曾在2015年12月造成14人死亡，22人受傷，蘋果曾就此事和調查局周旋數月，但最終聯邦調查局解鎖了手機，而這一切並不是在蘋果的協助下完成的。相反的是，聯邦調查局支付了一名未透露姓名獨立研究人員昂貴的費用。也許正如紐約時報所描述的那樣，出於某種原因黑客向調查局出售了該漏洞，而並未向蘋果提交。

雖然該計劃公開公布的，但和蘋果發布的其它事情一樣該計劃僅限於內部邀請狀態。

從克斯迪克公布的內容里可以知道，接受邀請的研究人員有機會從iOS和MacOS的漏洞中獲得25000美元到20萬美元不等的獎勵。

這聽起來好像有很多錢的樣子，但我們討論其中一些安全研究人員沒有向蘋果提交漏洞的原因之一，就是不清楚漏洞獎勵這麼高，在私人盈利以及灰色的市場中，例如Zerodium這樣的公司從研究人員那裡買來漏洞並將其賣給客戶，其中可以實現越獄iPhone的多個漏洞的方法價值150萬美元。另外一家公司Exodus Intelligence表示向其提交iOS漏洞可獲得高達五十萬美元的資金。這些公司聲稱僅向公司售賣，以幫助他們保護其網路，又或協助執法及情報機構進入有較高價值的目標。

有些黑客也可能會充分參與蘋果的漏洞獎勵計劃，並選擇不公開討論已提交的漏洞。但蘋果要求在安全研究人員參與計劃之前簽署協議，卻沒有嚴格禁止他們討論他們發現的漏洞。參與該計劃的一個研究人員和我說，協議主要是讓研究人員提交後一直等待，一直到問題解決，而在這個期間可以詳細和蘋果方面詳細闡述漏洞問題，通常情況下，研究人員很希望獲得公眾對他們的發現的認可，無論他們想要顯示能力，還是為了今後自己的履歷能增添色彩，即成為世界上能夠攻破最安全軟體黑客之一。