https://is.gd/ohgxcx
苹果 2016 年推出“Bug Bounty”悬赏计画:抓到漏洞有赏金,或赏金加倍后捐出去
苹果为维护 iOS 品质,曾于 2016 年推出漏洞悬赏计画“Bug Bounty”,邀请各方资安人
员合力找出系统漏洞,并依类别发放奖金,额度最高的项目可达 20 万美元,超过 600 万
新台币,如果选择捐出去的话则加倍。
身为 Google 资安团队 Project Zero 成员的 Ian Beer,同时也是世界最顶尖的骇客之一
;该团队平时的任务,便是找出各个软件的漏洞与后门,而苹果的作业系统,自然也在他们
的研究范围内。
该团队在找出软件漏洞后,会通知厂商进行修正,接着无论对方是否进行处理,都会在 90
天后公开,迫使公司行动。
Google 顶尖骇客秀出抓漏纪录:我也想领赏!
Ian Beer 近日在推特上,张贴出多年来找出的 iOS 漏洞列表,并依据苹果抓漏计画的价码
标出赏金,总计高达 245 万美元,相当于 7,500 万新台币,并希望苹果能替他将这些赏金
捐给国际特赦组织。
该列表甚至包括今年夏天,他稍早前才提交给苹果的两个漏洞。
不过,根据《Business Insider》报导,Ian Beer 的身份,实际上并不符合领取赏金的资
格;首先,Bug Bounty 主要面向独立研究人员,希望透过奖金使他们愿意回报漏洞,而非
贩卖给他人或者用于违法用途,但这点上,Ian Beer 本身就是 Google 员工。
其次,Bug Bounty 为邀请制,只有受邀的研究人员,才有参与该计画的资格,也因此,Ian
Beer 才会在文中提到“能否将我邀请进计画”;若不在计画内,无论发现多么重大的 iOS
漏洞,也无法透过这项机制领奖金。
对奖励计画颇有微词,Google 骇客:苹果只是利用计画做宣传
Ian Beer 当然不会不知道这点,他发文的真正意图为何,目前也尚未分晓;但《Business
Insider》指出,Ian Beer 对苹果的 Bug Bounty 计画颇有微词,表示“虽然我不认为苹果
将漏洞悬赏计画视为宣传工具,但该计画实际上替他们做了不少宣传,高额奖金常被人提起
。”并将之比喻成“用一张舒适的毯子包裹自己。”
另外,目前苹果没有对这则贴文做出回应。
ios号称世界上最稳定最安全的作业系统,每年都被越狱不说,还被挖出这么多漏洞,Ios11
更是问题一堆,反观Google真佛心公司,还帮对手找漏洞,真是高下立判。