苹果捉虫项目遭遇尴尬 赏金太低参与者将漏洞转卖灰市
作者:锐志 发布时间:[ 2017/7/10 11:04:34 ] 推荐标签:网络安全 苹果
据外媒报道,拥有自己操作系统的公司为了提升系统安全性通常都会推出“赏金捉虫”项目,苹果也不例外。不过它们的捉虫项目遭遇了尴尬,那些通过邀请制加入该项目的安全研究人员不太给苹果面子,他们通常会雪藏自己找到的漏洞到灰市(半合法市场)售卖,因为那里明显给的报酬更高。
Motherboard采访了十位捉虫项目参与者,他们均表示苹果的漏洞价值很高,根本不舍得上报(这十个人都没给苹果上报过任何漏洞)。尴尬的是,参与该项目的研究人员现在没有一个人拿到过苹果的赏金。
“如果将漏洞卖给别人,能拿到更多现金。”去年加入该项目的安全研究专家尼基亚斯-巴森说道。“如果参与捉虫项目是为了挣钱,肯定不会有人把发现的漏洞呈交给苹果。”
苹果在去年的黑帽大会上正式推出了捉虫项目,起初该项目高赏金达20万美元,但还没进行多久赏金降到了10万美元,有的漏洞赏金则只有2.5万美元。
与苹果相比,第三方公司显然更豪气。如果你能找到可以搞定iPhone越狱的漏洞,Zerodium的高奖金甚至可达150万美元。对于较为重要的iOS的漏洞,也有公司愿意出价50万美元。当然,这些公司拿到漏洞后会进行合法利用,因此即使研究人员将漏洞卖给它们也并不违背道德。
此外,精明的研究者们还想在苹果系统上保留自己的“秘密花园”,如果将漏洞上报苹果,它们可能会顺藤摸瓜封掉所有通路,到时连研究人员自己也进不去了。同时,研究人员一直想让苹果放开权限,提供一些开发者设备供他们研究,但一向喜欢保密的苹果并不同意。
相关推荐
更新发布
常用的选择回归测试的方式有哪些?
2022/6/14 16:14:27测试流程中需要重点把关几个过程?
2021/10/18 15:37:44性能测试的七种方法
2021/9/17 15:19:29全链路压测优化思路
2021/9/14 15:42:25性能测试流程浅谈
2021/5/28 17:25:47常见的APP性能测试指标
2021/5/8 17:01:11系统性能测试及调优前期准备
2021/4/15 14:41:29国内比较好用的5款测试管理工具
2021/3/25 17:23:31