前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >白帽子兴趣消退:“泥泞中”的苹果漏洞赏金计划

白帽子兴趣消退:“泥泞中”的苹果漏洞赏金计划

作者头像
FB客服
发布2018-02-28 17:11:59
1.3K0
发布2018-02-28 17:11:59
举报
文章被收录于专栏:FreeBuf

苹果发布漏洞奖励计划近一年后,却鲜有听闻已有白帽黑客领取漏洞奖励,这种“怪现象”开始导致一些常为苹果公司提交高价值漏洞的安全研究人员开始保留漏洞而不提交官方。

苹果漏洞奖励计划之“怪圈”

iPhone手机的安全性确实很高,但也很难发现其中的漏洞,这最终导致灰色市场上漏洞价格持续上涨,而这种情况的发生,就是因为这些漏洞非常有价值,安全研究人员通常不愿意报告漏洞问题,主要因为提交一些漏洞可能会影响他们进行更多的研究。

曾任NSA和Synack研究员的Patrick Wardle目前正从事MacOS系统研究工作,同时被邀请参加苹果的漏洞赏金计划。他表示:

“向苹果报告的漏洞都非常有价值,如果你只是为了赚钱,你不会直接提交给苹果”

除了Wardle和Bassen之外,同时又对八个匿名接受采访的赏金猎人做了采访,他们都对计划细节之处做出了个人看法,但他们都表示还没有向苹果公司提交漏洞,而目前他们都对除了自己以外谁还拥有漏洞尚不清楚,而苹果也未就此事做出任何评论。

2016年9月,苹果目光转向沃尔特(美国地名),并邀请知名iPhone越狱大师Luca Todesco以及一个被选拔好的小型白帽子团队到苹果Cupertino总部。在他们逗留期间,苹果邀请这些安全研究人员加入漏洞赏金计划,苹果安全研究人员又做出了一些关于此类主题的演讲,并挽留他们吃晚餐,之后又和他们聊天,讨论工作和遇到的问题。据当时出席的两位消息来源人士称,当时苹果公司软件工程高级副总裁Craig Federighi也出席了这次活动,并表示欢迎他们的到来。

这是一个很大的转变,有不少安全研究人员和专家长期以来一直抱怨称,在所有技术巨头中苹果一直存在一个非常大的困境——没有漏洞赏金计划,

微软、谷歌、Facebook已经在这方面有多年的努力,对于非恶意目的且有选择性报告漏洞的白帽黑客而言,丰厚的奖励也是很有必要的。

一名之前曾担任苹果安全方面研究的员工,在不披露协议条件且匿名情况下向我透漏称:

“苹果不会粗心地处理任何事——包括漏洞奖励计划的流程及执行,必须没有任何风险情况。他们是完美主义者。”

去年,苹果抵制了一个命令,即协助美国联邦调查局解锁加州圣伯纳迪诺抢手的iPhone手机,该枪手曾在2015年12月造成14人死亡,22人受伤,苹果曾就此事和调查局周旋数月,但最终联邦调查局解锁了手机,而这一切并不是在苹果的协助下完成的。相反的是,联邦调查局支付了一名未透露姓名独立研究人员昂贵的费用。也许正如纽约时报所描述的那样,出于某种原因黑客向调查局出售了该漏洞,而并未向苹果提交。

虽然该计划公开公布的,但和苹果发布的其它事情一样该计划仅限于内部邀请状态。

从克斯迪克公布的内容里可以知道,接受邀请的研究人员有机会从iOS和MacOS的漏洞中获得25000美元到20万美元不等的奖励。

这听起来好像有很多钱的样子,但我们讨论其中一些安全研究人员没有向苹果提交漏洞的原因之一,就是不清楚漏洞奖励这么高,在私人盈利以及灰色的市场中,例如Zerodium这样的公司从研究人员那里买来漏洞并将其卖给客户,其中可以实现越狱iPhone的多个漏洞的方法价值150万美元。另外一家公司Exodus Intelligence表示向其提交iOS漏洞可获得高达五十万美元的资金。这些公司声称仅向公司售卖,以帮助他们保护其网络,又或协助执法及情报机构进入有较高价值的目标。

有些黑客也可能会充分参与苹果的漏洞奖励计划,并选择不公开讨论已提交的漏洞。但苹果要求在安全研究人员参与计划之前签署协议,却没有严格禁止他们讨论他们发现的漏洞。参与该计划的一个研究人员和我说,协议主要是让研究人员提交后一直等待,一直到问题解决,而在这个期间可以详细和苹果方面详细阐述漏洞问题,通常情况下,研究人员很希望获得公众对他们的发现的认可,无论他们想要显示能力,还是为了今后自己的履历能增添色彩,即成为世界上能够攻破最安全软件黑客之一。

评论对此事意见不一

曾经对iOS安全性进行系统研究的专家Guido解释称,苹果系统非常安全,即使你花费数周或数月时间查找,发现价值二十万美元的漏洞也不太可能。

由于iOS系统是一种比较复杂、牢固、安全的系统,需要对其进行长时间研究和观察,而这就需要多个补丁、零日漏洞或一次完美的越狱。换句话说,需要从几个关联的漏洞中才能发现更深层次的漏洞。而这也解释了,为什么有些人喜欢保留他们的漏洞,继续做研究,而不是让自己获得数千美元的奖励。

研究人员在访问Cupertino总部的时候,要求苹果安全团队提供不具有特殊限制的iPhone,从而更容易地对其进行攻击测试。这些设备将具有一些例如沙盒、禁用功能,可以使研究人员更好的完成研究性任务,一位研究人员将其描述为“开发者设备”。

可惜的是,目前据其中三位研究人员的说法,苹果并不愿意提供这些特殊设备。

“苹果再次尝试了一些新鲜的东西,并为漏洞提供巨额报酬,但他们没有正确的理解漏洞赏金市场,也不了解白帽黑客们帮助他们的动机。在某种程度上,漏洞的提交数量减少,一方面应该被视为iPhone的安全性的证明,另一方面也说明了苹果需要在信息共享方面做的更好

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2017-07-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 苹果漏洞奖励计划之“怪圈”
  • 评论对此事意见不一
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档