2016年8月4日 星期四

駭蘋果,賺大錢

Hack Apple, get paid

 Laura Hautala

August 4, 2016 | 4:33 PM PDT



一個蘋果(Apple Inc.)的軟體錯誤(bug)值多少呢?  這一直是個謎,因為蘋果從來都不會付酬賞給那些回報錯誤給蘋果的資安研究員(Security researcher)。但是自從這星期四後,一切將會改變了。蘋果公司的資安管理員 Ivan Krstic 說,蘋果公司會付至高達 200,000 美元的酬賞給哪些回報蘋特定果軟體要害的研究員。



Ivan Krstic 在一場位於拉斯維加斯的黑帽駭客電腦安全會議(Black Hat cybersecurity conference)上,表示他們很高興能有這項錯誤賞金計畫。他同時也提供蘋果公司是如何保護用戶資料的細節。

錯誤賞金一直都是大型軟體開發者電腦安全(cybersecurity)的催化劑,如:微軟谷歌雅虎等公司。谷歌上個月表示,他們總共已經付了 550,000 美金給發現安卓系統缺陷的人了。在今年二月,臉書表示,從 2011 年起算,他們已經付了 4300 萬元美金給 800 多位來自世界各方的研究學者。

資安專家絕對會大方地展示他們找出的漏洞給蘋果公司。蘋果一直是以很少駭客攻擊聞名,一來是因為他們比較小的市佔率,二來是因為他們的產品本來就很安全。找出蘋果軟體的缺陷絕對是一大成就。但不是所有人都願意先告訴蘋果公司,而是將那些資訊賣給政府或駭客組織,或許錯誤賞金是讓他們先告訴蘋果的誘因。

這樣可以幫助蘋果避免一再重複和美國司法部的爭訟。當美國政府要求蘋果幫忙解鎖十一月加州恐攻嫌疑犯的 iPhone 時,蘋果屢次拒絕。美國政府反而去雇用未知的民間的資安專家破解 iPhone 而不是循正當管道解決。政府可以因此省下約略 100 萬美金來破解,但確實數字尚未公開。

Securosis 的執行長 Rich Mogull 說道,如果蘋果一直有再付錢給發現重大缺失的人,可能就不會有像美國政府那樣搞的亂象。但如果真的是很有用和很值錢的漏洞,蘋果可能沒辦法像美國政府或俄羅斯黑社會(Russian mafioso)一樣付 100 萬美金

Rich Mogull 說道,這項錯誤賞金計畫只是鼓勵研究者堅持下去研究蘋果的漏洞。他們需要證明這項漏洞真有辦法讓駭客走後門,他們才付錢。

蘋果表示,這項計畫主要是在昭告天下,破解他的安全防護網是有多困難。蘋果已經著手將他們使用者資料的安全性提高許多,並對使用者資料加密,這都使得尋找蘋果的漏洞更困難。

他們給不給錢會因為在那裡找到漏洞而有差,這項計畫不會一開始就開放給隨便個資深駭客。當這項計畫從九月開始時,他們會先包括一些已經有在合作的研究員,但是如果外界發現的漏洞也很值錢的話,也不排除給外界錢。Ivan Krstic 說道,我們本意不是要使之成為一個專屬俱樂部。