蘋果推出賞金計劃，安全專家嫌蘋果太摳，竟把漏洞賣給第三方買家

漏洞是在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。是受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。

漏洞問題是與時間緊密相關的。一個系統從發布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟體修補，或在以後發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現。漏洞問題也會長期存在。

此前一家名為Zerodium的安全公司就開出過最高100萬美元的價碼收購iOS的安全漏洞，這遠比蘋果公司開出的價碼更加誘人。不過Zerodium除了收購漏洞外，也公開出售這些漏洞，客戶每年支付20萬美元即可任意使用該公司已經搜集到的漏洞。

在去年的黑帽大會上，蘋果公司推出了一項新的賞金計劃，明碼實價收購Bug以及安全漏洞。從蘋果公司開出的價目表來看，如果能在安全引導啟動環節發現漏洞，那麼獎金將高達20萬美元。

微軟和谷歌等科技公司此前也都推出了類似的獎勵措施，鼓勵開發者幫助公司查找產品漏洞。不過據Motherboard最新報道，目前絕大多數受邀的安全專家都表示他們沒有將漏洞賣給蘋果公司，因為蘋果公司出價太低了，而第三方買家的出價要比蘋果高得多。

注入漏洞是最危險的安全漏洞之一。在應用程序將不可信的數據發送給解釋器時，就有可能產生注入漏洞。這種漏洞很普遍，會影響到大量方案。最普遍的注入漏洞會影響到SQL、LDAP、XPath、XML解析器和程序參數。

其實，通過分析代碼是可以發現注入漏洞的，但是，如果已經將系統部署到了生產環境中了，在測試期間就很難發現這些漏洞。利用劫持漏洞的網路攻擊帶來的後果可能有：敏感數據被泄露、拒絕服務等。攻擊者可以運行劫持攻擊，從而完全破壞目標系統，並獲得其控制權。

注入漏洞可以影響多種軟體，其影響依賴於有漏洞的應用程序的傳播範圍或傳播水平。注入漏洞可能帶來的一個典型影響就是Bash Bug漏洞。紅帽子的安全團隊在Linux 中的 Bash shell 中發現了一個危險的安全漏洞「Bash Bug」。對於用戶的正常訪問，該漏洞允許攻擊者的代碼如同在外殼 中一樣被執行，這就為各種各樣的攻擊打開了方便之門。

這種類型的漏洞可能帶來大規模影響，例如，物聯網設備（例如，智能儀錶，路由器，網路攝像機等設備）就有可能遭受這種漏洞的威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！