外媒報導,日前蘋果悄悄地召開一個會議,在總部招待了一票曾在 Mac 或 iPhone 找出漏洞的知名 Hacker。雖然與會的內容一如蘋果風格被完全隱匿,不過內容很可能與今年 8 月間,蘋果推出的「抓漏」獎金制度有關。
比起其他公司,例如 Google、Facebook,蘋果的安全回報機制其實慢了不少,不過最高 20 萬美元的獎金卻最為豐厚。而該制度的目的,是希望受邀的安全專家可以為蘋果提供獨家消息,好在事發前進行修復。蘋果資安工程部門的主管表示,之所以有這個計劃,是因為想搜羅作業系統的所有漏洞已經漸趨困難,因此蘋果才轉而尋求「白帽駭客」(white hat hacker)的協助。
由外媒《富比士》(Forbes)揭露的受邀名單,不乏 Hacker 界的風雲人物,例如率先發現 iOS 10 有未加密 kernel 的 Zdziarski,或是知名越獄團隊「盤古」(Pangu)的開發者。事實上,這項名單的存在也呼應了蘋果推出獎金制度時的說明:並非任何人都可以向蘋果舉報漏洞,換取獎金,而是只有在受邀名單上的人才可以。
一名匿名的受邀人士並向富比士表示,目前蘋果還只先挑選曾發現重大安全漏洞的專家,作為獎金名單上的第一批人。可想而知,這份名單上的人並不多,因為蘋果想要先專注在「具體實用的資訊」,而不是處理並驗證從四面八方湧來的回報。
目前蘋果的獎金制度,依不同的漏洞類型,共有 25,000、50,000、100,000、200,000 美元四種額度。不過,也有消息指出這些 Hacker 若是找得到管道,也可以以最高 1 百萬美元的代價賣掉漏洞。買家除了想探索 iOS 缺陷、獲取個資的企業或政府單位,也有如 Zerodium、Exodus Intel 或 NSO 一般,為客戶破解加密裝置的公司。
Apple Calls In Rock Star iPhone And Mac Hackers For Secret Bug Bounty Bash
Apple summons security experts for bug bounty program brief – report
留言列表
留言列表
