苹果推出漏洞奖励计划,还为黑客提供开发版iPhone
栏目:企业动态 发布时间:2019-08-08 13:39
苹果为黑客提供准越狱版iPhone,便于他们查找苹果手机漏洞。编者按:本文来自微信公众号“iFeng科技”(ID:ifeng_tech),作者 箫雨,36氪经授.........
苹果为黑客提供准越狱版iPhone,便于他们查找苹果手机漏洞。

编者按:本文来自微信公众号“iFeng科技”(ID:ifeng_tech),作者 箫雨,36氪经授权发布。

苹果公司变得开放了吗?至少从网络安全角度讲似乎是这样的。苹果准备为黑客们提供准越狱版iPhone,便于他们查找苹果手机漏洞。

本周晚些时候,黑帽安全大会将在美国拉斯维加斯举行。消息称,苹果将在此次大会上宣布为安全研究人员提供特别版iPhone,进一步便于黑客寻找iPhone弱点。苹果还将宣布Mac漏洞奖励计划,所以找到macOS漏洞的研究者也能获得奖励了。

特别版iPhone

这种特别版iPhone将只会提供给知名黑客,后者参与了苹果仅限邀请的漏洞奖励计划。苹果在2016年的黑帽大会上宣布了这一漏洞奖励计划,为披露苹果产品漏洞的参与者提供奖金,最高可达到20万美元。

这些iPhone有多么特别?知情人士称,它们实际上就是开发版设备,在这上面可做的事情要远多于传统锁定版iPhone。例如,它应该能够允许研究人员探究苹果操作系统的某一片段,这是在商业版iPhone上无法做到的。尤其是,它能够允许黑客阻止处理器运行,检查存储器以查找漏洞。这就使得黑客在尝试攻击iOS代码时能够从代码层面查看发生的一切。

不过,这些特别版iPhone和苹果内部员工使用的iPhone并不完全相同。它们属于“轻量版”iPhone,无法享受和苹果安全团队一样的开放性。例如,苹果不大可能允许黑客解密iPhone固件,后者支撑着iPhone的大量功能。

除了试图提高iPhone的安全性,苹果此举也是在回应开发版设备的泄露问题。苹果开发版设备在外泄后会在黑市被出售。近几年,这种开发机成为了黑客研究苹果最敏感代码的利器。尽管苹果的这一最新策略会导致iPhone外泄的几率增加,但是苹果会审查漏洞奖励计划中的参与者,很可能会对开发机保持一定控制权。苹果此举同样可被视为反制开发机的暗地销售。

Mac漏洞奖励计划

对于苹果的Mac漏洞奖励计划,目前还不清楚奖励金额是否和iOS漏洞奖励计划类似,但已是安全研究人员呼吁已久的项目。今年2月,18岁的莱纳斯·亨策(Linus Henze)发现了一个允许他查看钥匙串中密码的macOS漏洞。但是由于苹果不提供奖励,他拒绝向苹果提供漏洞细节。

“如果你是一家像苹果这样庞大、资源充足而又重视安全的公司,推出漏洞奖励计划是一件想都不用想的事情。”苹果设备管理公司Jamf首席安全研究员帕特里克·沃德尔(Patrick Wardle)表示。沃德尔已经发现了多个macOS问题。

更多信息预计将在周四公布。届时,苹果安全和工程主管伊凡·克雷斯迪克(Ivan Krstić)将发表题为“iOS和Mac的幕后安全”的演讲,承诺在iPhone和Mac上提供“史无前例的技术细节”。

苹果不予置评。