Bug賞金項(xiàng)目即將推出 蘋(píng)果秘邀知名黑客到總部

盧卡·托德斯科(Luca Todesco)，一位19歲的青年，他是成功越獄iPhone 7的第一人;尼古拉斯·阿萊格拉(Nicholas Allegra)，一位前十幾歲的天才，已成為世界著名的iOS黑客;帕特里克·沃德?tīng)?Patrick Wardle)，一位前美國(guó)國(guó)家安全局的職員，曾多次發(fā)現(xiàn)Mac OS X的安全漏洞。消息人士透露，他們只是來(lái)到加州庫(kù)比蒂諾(Cupertino)與蘋(píng)果舉行會(huì)談的黑客中的幾位。蘋(píng)果對(duì)這次會(huì)議的整個(gè)過(guò)程進(jìn)行了封鎖，要求參會(huì)者不得對(duì)外泄露會(huì)議的內(nèi)容。

消息人士稱(chēng)，蘋(píng)果向他們介紹了該公司即將推出的“Bug(漏洞)賞金項(xiàng)目”——根據(jù)該項(xiàng)目，如果他們發(fā)現(xiàn)該公司旗下所有筆記本電腦和手機(jī)的漏洞，并向該公司提供漏洞的消息，他們將獲得最高20萬(wàn)美元的獎(jiǎng)金。根據(jù)蘋(píng)果在今年拉斯維加斯黑帽(Black Hat)大會(huì)上的承諾，“Bug賞金項(xiàng)目”預(yù)計(jì)將在本月底前推出。與其他公司的Bug賞金項(xiàng)目不同，蘋(píng)果對(duì)參與該項(xiàng)目的黑客進(jìn)行了限制，只限于該公司邀請(qǐng)的黑客。蘋(píng)果這樣做是為了追求參與者的質(zhì)量，而不是數(shù)量，但可能將那些能提供有價(jià)值漏洞消息的黑客排除在外。

《福布斯》獲悉，受蘋(píng)果邀請(qǐng)參與蘋(píng)果Bug賞金項(xiàng)目的，還包括知名iPhone和Mac黑客弗朗西斯科·阿隆索(Francisco Alonso)、斯特凡·埃塞爾(Stefan Esser)、布雷登·托馬斯(Braden Thomas)、佩德羅·維拉克(Pedro Vilaca)和喬納森?扎德?tīng)査够?Jonathan Zdziarski)。前蘋(píng)果工程師亞歷克斯·約內(nèi)斯庫(kù)(Alex Ionescu)、史蒂芬德·德弗朗科(Steven De Franco，在越獄社區(qū)外號(hào)為“ih8sn0w”)，以及中國(guó)著名的盤(pán)古越獄團(tuán)隊(duì)成員之一徐昊也在受邀名單之中。

一位不愿透露姓名的消息人士稱(chēng)，蘋(píng)果已經(jīng)通過(guò)一份安全研究專(zhuān)家的名單，他們之前均已向蘋(píng)果提交漏洞報(bào)告，從中選出所批參與Bug賞金項(xiàng)目的人選。目前邀請(qǐng)名單“人數(shù)不是很多”，蘋(píng)果希望“專(zhuān)注于獲得可操作的信息”，而不希望應(yīng)付層出不窮的報(bào)告。

截止文章發(fā)稿時(shí)，蘋(píng)果沒(méi)有回應(yīng)置評(píng)請(qǐng)求。蘋(píng)果希望對(duì)本次會(huì)議嚴(yán)格保密，所以該公司甚至沒(méi)有告訴與會(huì)者邀請(qǐng)他們到庫(kù)比蒂諾參加什么活動(dòng)。

由于沒(méi)有及早建立Bug賞金項(xiàng)目，蘋(píng)果一直面臨著批評(píng)。但當(dāng)該公司宣布獎(jiǎng)金高達(dá)20萬(wàn)美元時(shí)，給人留下了深刻印象。到目前為止，包括Facebook、谷歌和微軟在內(nèi)，還沒(méi)有那家科技巨頭的Bug賞金項(xiàng)目提供這么高的獎(jiǎng)金。但也有些人指出，安全研究專(zhuān)家如果將發(fā)現(xiàn)iOS的漏洞出售給Zerodium或Exodus Intel等公司，獲得的獎(jiǎng)金可能超過(guò)100萬(wàn)美元。Zerodium等公司的盈利方式，是幫助執(zhí)法部門(mén)破解涉案設(shè)備。

蘋(píng)果面臨大量需要解決的安全問(wèn)題。上月，就有媒體曝光以色列一家監(jiān)控供應(yīng)商N(yùn)SO Group試圖在阿聯(lián)酋一位活動(dòng)家的iPhone上安裝了惡意軟件。這次攻擊中，NSO計(jì)劃利用iOS軟件上的三處獨(dú)立的零日漏洞(以前未知的、未打補(bǔ)丁的軟件缺陷)，偷偷將自家監(jiān)控軟件安裝到iPhone上。簡(jiǎn)單來(lái)說(shuō)，只要點(diǎn)擊了他們發(fā)出的一條文本鏈接，他們就可以發(fā)起攻擊。但阿聯(lián)酋活動(dòng)家艾哈邁德·曼蘇爾(Ahmed Mansoor)識(shí)破了這一把戲。在這三個(gè)漏洞披露后的10天內(nèi)，蘋(píng)果就進(jìn)行了修復(fù)，顯示該公司如果能獲得有關(guān)漏洞的警告，它能非常高效地保護(hù)用戶(hù)。

就在上周，蘋(píng)果被發(fā)現(xiàn)iOS 10對(duì)iTunes備份文件采用更弱的密碼認(rèn)證機(jī)制，使得這些文件很容易遭到攻擊。而周一，有消息稱(chēng)曾經(jīng)攻入美國(guó)民主黨總部電腦的黑客團(tuán)隊(duì)，已開(kāi)發(fā)針對(duì)蘋(píng)果Macs電腦的惡意軟件。

資訊整理：中國(guó)品牌500強(qiáng)(shellcamp.com/)