蘋果推出漏洞報告賞金計劃,獎金最高 20 萬美元
科技公司掌握着打開我們一些最私密信息的鑰匙,比如說支付信息、健康檔案、跟戀人的聊天記錄,以及家人的照片集。隨着我們交出的私人數據越來越多,公司通過保障數據安全來贏得我們信任這件事也就變得越來越重要了。
在過去的 5 年中,大多數主要科技公司都推出了漏洞賞金計劃,歡迎黑客提交漏洞報告並以現金給予獎勵。一些不具備技術專長來自營賞金計劃的公司也把這項重要的安全保障工作外包了出去。
但多年以來,蘋果在這方面一直拒不作爲。雖然在蘋果講述的故事中,安全一直是重要的組成部分,但該公司拒絕向漏洞報告者支付獎金,這常常讓安全研究人員感到沮喪。這一切在週四發生了改變,蘋果安全工程和架構的負責人伊萬·科斯蒂奇(Ivan Krstic)在黑帽大會(Black Hat)上向與會者宣佈,該公司將正式向那些在其產品中發現漏洞的安全研究人員支付最高 20 萬美元的獎金。
科斯蒂奇公佈的計劃是蘋果一項正在進行當中的工作的組成部分,即消除其 安全架構的神祕性,並向那些希望幫助改進蘋果系統安全性的黑客、安全研究人員和密碼學家打開大門。即便是科斯蒂奇在黑帽大會上發表講話這件事——他還談到了 HomeKit、AutoUnlock 以及 iCloud Keychain 的安全特性——對蘋果來說也是有些不同尋常的。蘋果已經有 4 年時間沒有派代表出席黑帽大會了,該公司通常會在自己的全球開發者大會(WWDC)上發表安全方面的公告。
“蘋果跟安全研究人員的關係歷來不佳。”裏奇·莫古爾(Rich Mogull)說道,他是安全研究公司 Securosis的首席執行官,也是一位追蹤 iOS 安全性的安全分析師,“在過去的 10 年中,那已經發生了很大的變化,而且是朝着積極的方向發展。”莫古爾表示,這項漏洞賞金計劃是在正確方向上邁出的又一步。
在過去,蘋果爲不搞賞金計劃給出的理由是,政府和黑市都在出高價競購安全漏洞。這個理由的邏輯是這樣的:如果你的出價總要被另一個買家超過,那麼爲什麼還要出價呢?雖然 20 萬美元無疑是一筆很高的獎金——在各家公司的漏洞獎金計劃中,20 萬美元也屬於最高之列——但它還是無法超過執法部門或黑市能夠給予漏洞報告者的價錢。有報道稱,美國聯邦調查局(FBI)支付了近 100 萬美元用於購買漏洞,從而破解了賽義德·法魯克(Syed Farook)所使用的 iPhone,此人是去年 12 月聖貝納迪諾射擊案的嫌犯之一。
一項漏洞賞金計劃不大可能吸引到那些只想通過安全漏洞大賺一筆的黑客。莫古爾說,對那些只想着錢的人,蘋果可能永遠填不滿無底洞。但是,對那些希望產生影響的人,得到蘋果開具的支票可能改變一切。“這項計劃的意義就是激勵善意的安全研究。”莫古爾解釋道。
蘋果高管對於漏洞獎金計劃效用的想法發生了改變,這在一定程度上是基於該公司內部滲透測試人員的報告,這些人整天都在嘗試破解蘋果的產品。蘋果表示,公司內部測試人員和類似的外部安全研究人員已經越來越難找到漏洞,所以現在是時候開始提供更多的激勵來做這件事情了。
“蘋果在內部顯然花費了大量時間來做這個,他們讓最優秀的人手查找漏洞,但後者卻在說,‘我們很難找到這些東西’,以及‘爲了讓安全性的會話不斷演進下去,打破我們的藩籬將有所幫助’。”消費技術研究人員本·巴加林(Ben Bajarin)說,“這是他們之前所做安全工作的一種延展。”
尋找蘋果安全漏洞並加以利用的難度已經變得更大了,在這種情況下,該公司看到了激勵研究人員做更深入工作的需求。漏洞賞金計劃 HackerOne的聯合創始人亞歷克斯·萊斯(Alex Rice)表示,向開發者打開大門可能爲蘋果帶來收益。
“在推出漏洞獎金計劃的公司當中,他們都找到了之前自己不知道的新漏洞。”萊斯說,“如果一家公司推出了漏洞獎金計劃,他們就去掉了那些容易摘掉的果子,他們遵循了最好的做法,但他們知道那還不夠。”
蘋果的漏洞獎金計劃是邀請制的,該計劃僅對那些之前向該公司報告過重要漏洞的研究人員開放。蘋果就自己的漏洞獎金計劃諮詢了其他公司,最終認定,如果向公衆開放這項計劃,那麼大量湧入的漏洞報告可能掩蓋那些真正的高危漏洞。
然而,如果新的研究人員提供了有用的漏洞報告,蘋果也不會拒絕,該公司打算慢慢擴大這項計劃。
蘋果的漏洞獎金計劃將在 9 月份上線,它對五大類漏洞的獎勵有所不同:
安全引導固件中的漏洞:最高 20 萬美元。能夠從 Secure Enclave 中提取機密信息的漏洞:最高 10 萬美元。任意代碼執行漏洞或者是讓惡意代碼擁有內核權限的漏洞:最高 5 萬美元。能夠訪問蘋果服務器上 iCloud 賬戶數據的漏洞:最高 5 萬美元。能夠在沙盒之外訪問用戶數據的漏洞:最高 2.5 萬美元。要想有資格拿到獎金,研究人員將需要提供在最新版 iOS 和硬件上完成的概念驗證。雖然蘋果已經給出了每一類漏洞的最高獎金數額,但該公司將基於以下幾個因素確定具體的發放金額:漏洞報告的清晰度;問題的新穎度以及影響用戶的可能性;以及對漏洞加以利用所需的用戶交互層級。
這個故事還有一個有不同尋常的轉折,蘋果打算鼓勵研究人員把自己獲得的獎金捐給慈善機構。如果蘋果認可研究人員選定的慈善機構,該公司將捐出跟獎金數額相同的善款——所以,20 萬美元的獎金有可能變成 40 萬美元的善款。
翻譯:王燦均(@何無魚)
