苹果漏洞挖掘项目风评差:封闭、付款慢、修补也慢

《华盛顿邮报》(The Washington Post)采访了超过20名安全研究人员,指出苹果的漏洞挖掘项目风评并不佳,研究人员抱怨苹果不但封闭、支付奖金的动作慢、所支付的金额经常与研究人员的期望有所落差,而且经常很久才修补。

苹果于2016年开始实施漏洞挖掘奖励项目,当时该项目只适用于iOS及iCloud,一直到2019年才扩大至macOS、watchOS与Apple TV,单一漏洞的最高奖金为100万美元。

其中有一名39岁的安全研究人员Cedric Owens表示,他在今年提交了一些有关macOS的安全漏洞,虽然他所提出的概念性验证程序无法访问通讯录、邮件、消息等机密资料,但他认为黑客应该可借由相关漏洞访问受害者的文件,对于未经授权即可访问机密资料的macOS漏洞,苹果理应提供10万美元的奖金,但Owens只拿到5,000美元的奖金。

另一名安全研究人员Nicolas Brunner,则是发现苹果的位置关注系统含有安全漏洞,就算用户关闭了关注,他所开发的程序依然能够看到这些用户的踪迹,在向苹果提报之后,苹果谢了他,还说会把漏洞的发现归功于他,Brunner预期自己可收到5万美元的奖励,结果苹果在8个月之后告诉他该漏洞不符领奖资格。

不过,有一名年仅21岁的安全研究人员Sam Curry,从去年夏天才开始呼朋引伴地一起钻研苹果的平台漏洞,且平均每几天就会提交新漏洞,他们这个5人团队一年来就获得苹果颁发的50万美元奖金,占苹果总奖金的13%。只是,Curry也说,跟其它提供漏洞挖掘奖励的企业相较,苹果支付奖金的时间拖太久了。

另一名iOS软件工程师Tian Zhang从2017年起,就向苹果提报iOS的安全漏洞,当他发现苹果直至好几个月之后还不修补,便把漏洞公诸于世,还有几次苹果修补了他所提报的漏洞,但完全没有回应也未奖励他。

至于苹果的封闭,则是来自于苹果不太愿意与安全研究人员讨论漏洞未符合资格,或者是奖金规模的判别标准,而且苹果提供给研究人员的iPhone上仍有层层的安全限制,也让研究受限。

苹果今年已经聘请了一名新的主管来负责漏洞挖掘项目,目的就是要进行改革,或许能够改善苹果在安全社群的名声。

发表评论