苹果推出漏洞奖励计划,还为黑客提供开发版iPhone
苹果公司变得开放了吗?至少从网络安全角度讲似乎是这样的。苹果准备为黑客们提供准越狱版iPhone,便于他们查找苹果手机漏洞。
本周晚些时候,黑帽安全大会将在美国拉斯维加斯举行。消息称,苹果将在此次大会上宣布为安全研究人员提供特别版iPhone,进一步便于黑客寻找iPhone弱点。苹果还将宣布Mac漏洞奖励计划,所以找到macOS漏洞的研究者也能获得奖励了。
特别版iPhone
这种特别版iPhone将只会提供给知名黑客,后者参与了苹果仅限邀请的漏洞奖励计划。苹果在2016年的黑帽大会上宣布了这一漏洞奖励计划,为披露苹果产品漏洞的参与者提供奖金,最高可达到20万美元。
这些iPhone有多么特别?知情人士称,它们实际上就是开发版设备,在这上面可做的事情要远多于传统锁定版iPhone。例如,它应该能够允许研究人员探究苹果操作系统的某一片段,这是在商业版iPhone上无法做到的。尤其是,它能够允许黑客阻止处理器运行,检查存储器以查找漏洞。这就使得黑客在尝试攻击iOS代码时能够从代码层面查看发生的一切。
不过,这些特别版iPhone和苹果内部员工使用的iPhone并不完全相同。它们属于“轻量版”iPhone,无法享受和苹果安全团队一样的开放性。例如,苹果不大可能允许黑客解密iPhone固件,后者支撑着iPhone的大量功能。
除了试图提高iPhone的安全性,苹果此举也是在回应开发版设备的泄露问题。苹果开发版设备在外泄后会在黑市被出售。近几年,这种开发机成为了黑客研究苹果最敏感代码的利器。尽管苹果的这一最新策略会导致iPhone外泄的几率增加,但是苹果会审查漏洞奖励计划中的参与者,很可能会对开发机保持一定控制权。苹果此举同样可被视为反制开发机的暗地销售。
Mac漏洞奖励计划
对于苹果的Mac漏洞奖励计划,目前还不清楚奖励金额是否和iOS漏洞奖励计划类似,但已是安全研究人员呼吁已久的项目。今年2月,18岁的莱纳斯·亨策(Linus Henze)发现了一个允许他查看钥匙串中密码的macOS漏洞。但是由于苹果不提供奖励,他拒绝向苹果提供漏洞细节。
“如果你是一家像苹果这样庞大、资源充足而又重视安全的公司,推出漏洞奖励计划是一件想都不用想的事情。”苹果设备管理公司Jamf首席安全研究员帕特里克·沃德尔(Patrick Wardle)表示。沃德尔已经发现了多个macOS问题。
更多信息预计将在周四公布。届时,苹果安全和工程主管伊凡·克雷斯迪克(Ivan Krstić)将发表题为“iOS和Mac的幕后安全”的演讲,承诺在iPhone和Mac上提供“史无前例的技术细节”。
苹果不予置评。