Bug赏金项目即将推出 苹果秘邀知名黑客到总部
(原标题:Apple Calls In Rock Star iPhone And Mac Hackers For Secret Bug Bounty Bash)
网易科技讯9月29日消息,据《福布斯》网站报道,消息人士透露,苹果最近邀请部分知名黑客,到其位于加州库比蒂诺(Cupertino)的总部举行秘密会议,这次会议可能与该公司即将推出的“Bug(漏洞)赏金项目”有关。
卢卡・托德斯科(Luca Todesco),一位19岁的青年,他是成功越狱iPhone 7的第一人;尼古拉斯・阿莱格拉(Nicholas Allegra),一位前十几岁的天才,已成为世界著名的iOS黑客;帕特里克・沃德尔(Patrick Wardle),一位前美国国家安全局的职员,曾多次发现Mac OS X的安全漏洞。消息人士透露,他们只是来到加州库比蒂诺(Cupertino)与苹果举行会谈的黑客中的几位。苹果对这次会议的整个过程进行了封锁,要求参会者不得对外泄露会议的内容。
消息人士称,苹果向他们介绍了该公司即将推出的“Bug(漏洞)赏金项目”――根据该项目,如果他们发现该公司旗下所有笔记本电脑和手机的漏洞,并向该公司提供漏洞的消息,他们将获得最高20万美元的奖金。根据苹果在今年拉斯维加斯黑帽(Black Hat)大会上的承诺,“Bug赏金项目”预计将在本月底前推出。与其他公司的Bug赏金项目不同,苹果对参与该项目的黑客进行了限制,只限于该公司邀请的黑客。苹果这样做是为了追求参与者的质量,而不是数量,但可能将那些能提供有价值漏洞消息的黑客排除在外。
《福布斯》获悉,受苹果邀请参与苹果Bug赏金项目的,还包括知名iPhone和Mac黑客弗朗西斯科・阿隆索(Francisco Alonso)、斯特凡・埃塞尔(Stefan Esser)、布雷登・托马斯(Braden Thomas)、佩德罗・维拉克(Pedro Vilaca)和乔纳森?扎德尔斯基(Jonathan Zdziarski)。前苹果工程师亚历克斯・约内斯库(Alex Ionescu)、史蒂芬德・德弗朗科(Steven De Franco,在越狱社区外号为“ih8sn0w”),以及中国著名的盘古越狱团队成员之一徐昊也在受邀名单之中。
一位不愿透露姓名的消息人士称,苹果已经通过一份安全研究专家的名单,他们之前均已向苹果提交漏洞报告,从中选出所批参与Bug赏金项目的人选。目前邀请名单“人数不是很多”,苹果希望“专注于获得可操作的信息”,而不希望应付层出不穷的报告。
截止文章发稿时,苹果没有回应置评请求。苹果希望对本次会议严格保密,所以该公司甚至没有告诉与会者邀请他们到库比蒂诺参加什么活动。
由于没有及早建立Bug赏金项目,苹果一直面临着批评。但当该公司宣布奖金高达20万美元时,给人留下了深刻印象。到目前为止,包括Facebook、谷歌和微软在内,还没有那家科技巨头的Bug赏金项目提供这么高的奖金。但也有些人指出,安全研究专家如果将发现iOS的漏洞出售给Zerodium或Exodus Intel等公司,获得的奖金可能超过100万美元。Zerodium等公司的盈利方式,是帮助执法部门破解涉案设备。
苹果面临大量需要解决的安全问题。上月,就有媒体曝光以色列一家监控供应商NSO Group试图在阿联酋一位活动家的iPhone上安装了恶意软件。这次攻击中,NSO计划利用iOS软件上的三处独立的零日漏洞(以前未知的、未打补丁的软件缺陷),偷偷将自家监控软件安装到iPhone上。简单来说,只要点击了他们发出的一条文本链接,他们就可以发起攻击。但阿联酋活动家艾哈迈德・曼苏尔(Ahmed Mansoor)识破了这一把戏。在这三个漏洞披露后的10天内,苹果就进行了修复,显示该公司如果能获得有关漏洞的警告,它能非常高效地保护用户。
就在上周,苹果被发现iOS 10对iTunes备份文件采用更弱的密码认证机制,使得这些文件很容易遭到攻击。而周一,有消息称曾经攻入美国民主党总部电脑的黑客团队,已开发针对苹果Macs电脑的恶意软件。(刘春)