外媒报导,日前苹果悄悄地召开一个会议,在总部招待了一票曾在 Mac 或 iPhone 找出漏洞的知名 Hacker。虽然与会的内容一如苹果风格被完全隐匿,不过内容很可能与今年 8 月间,苹果推出的“抓漏”奖金制度有关。
比起其他公司,例如 Google、Facebook,苹果的安全回报机制其实慢了不少,不过最高 20 万美元的奖金却最为丰厚。而该制度的目的,是希望受邀的安全专家可以为苹果提供独家消息,好在事发前进行修复。苹果资安工程部门的主管表示,之所以有这个计划,是因为想搜罗操作系统的所有漏洞已经渐趋困难,因此苹果才转而寻求“白帽骇客”(white hat hacker)的协助。
由外媒《富比士》(Forbes)揭露的受邀名单,不乏 Hacker 界的风云人物,例如率先发现 iOS 10 有未加密 kernel 的 Zdziarski,或是知名越狱团队“盘古”(Pangu)的开发者。事实上,这项名单的存在也呼应了苹果推出奖金制度时的说明:并非任何人都可以向苹果举报漏洞,换取奖金,而是只有在受邀名单上的人才可以。
一名匿名的受邀人士并向富比士表示,目前苹果还只先挑选曾发现重大安全漏洞的专家,作为奖金名单上的第一批人。可想而知,这份名单上的人并不多,因为苹果想要先专注在“具体实用的资讯”,而不是处理并验证从四面八方涌来的回报。
目前苹果的奖金制度,依不同的漏洞类型,共有 25,000、50,000、100,000、200,000 美元四种额度。不过,也有消息指出这些 Hacker 若是找得到管道,也可以以最高 1 百万美元的代价卖掉漏洞。买家除了想探索 iOS 缺陷、获取个资的企业或政府单位,也有如 Zerodium、Exodus Intel 或 NSO 一般,为客户破解加密装置的公司。
- Apple Calls In Rock Star iPhone And Mac Hackers For Secret Bug Bounty Bash
- Apple summons security experts for bug bounty program brief – report
(首图来源:Flickr/allen CC BY 2.0)
