蘋果也加入漏洞懸賞 蘋果系統漏洞其實比感覺多專欄
所有的軟件都是由代碼構成,程序員知道一個程序很難避免有漏洞,不過在移動互聯網的時代,當人們所有的私人照片、銀行賬戶與支付信息、社交應用上的聊天記錄、行蹤記錄和健康信息都存儲在一個小小的智能手機上的時候,科技公司封堵漏洞以保護用戶的數據安全變得日益重要。
一直堅持iPhone的安全是堅不可摧的蘋果公司也迫于壓力,向其他程序員伸出橄欖枝。蘋果公司的安全負責人Ivan Krstic周四在Black Hat(黑帽大會)上宣布,將向在蘋果產品的系統中發現漏洞的研究人員獎勵最高20萬美元。
蘋果公司也加入漏洞懸賞陣營 硅谷大公司已經發出數百萬美元獎勵
蘋果是漏洞懸賞的后來者,此舉彰顯了安全漏洞對于蘋果公司聲譽的威脅正在加重,蘋果公司不得不借助更多研究者的力量。過去的幾年中,微軟、Google母公司Alphabet、Facebook等都為有價值的安全信息支付了獎勵,總額度已經達到數百萬美元,微軟累計發出150萬美元,Facebook累計發出了400萬美元。
蘋果參加漏洞懸賞本來就比其他大公司要晚,在Ivan Krstic宣布的蘋果Security Bounty安全獎勵機制將僅限定在不到30名程序研究人員中,這些人都是程序專業人士,有一些人過去曾幫助蘋果公司找到安全漏洞,蘋果公司也可能在未來擴大邀請程序研究人員的范圍,不過目前的范圍遠沒有其他科技公司那么開放。
蘋果公司公布的漏洞懸賞針對5個類別的漏洞,在阻止未授權程序啟動的防火墻中發現漏洞最高會被獎勵20萬美元。其他的獎勵類別包括:從Secure Enclave中發現泄漏機密信息的漏洞,最高可獎勵10萬美元;訪問蘋果公司服務器iCloud賬戶的漏洞,最高獎勵5萬美元;在安全沙盒之外訪問用戶數據的漏洞,最高獎勵2.5萬美元。
蘋果公司如此謹慎限定參與者的范圍,一方面是操作初期,沒有更多人員處理大量的漏洞舉報,限定專業安全研究人士有助于針對性的發現高等級的安全漏洞,另一方面,蘋果公司并不想形成所有程序愛好者蜂擁而至的局面,那樣會引發對于蘋果公司系統安全的更多疑慮。
目前已有數十家科技公司為找出漏洞的程序員提供獎勵,隨著汽車越來越依賴于軟件控制系統,汽車業的相關企業也開始發布漏洞懸賞,如特斯拉和通用汽車公司。
蘋果曾經被認為安全性更高 但形勢已經發生變化
在許多人的意識中,蘋果公司iOS系統和OS 系統比Windows和Android操作系統在感覺上更安全些,在某種程度上這是對的,在某種程度上這種看法不正確。
1. 在PC時代的很多年,Windows系統占據絕大多數用戶的桌面PC,蘋果的PC和筆記本電腦的用戶數量遠小于微軟的用戶數,對于研究漏洞并嘗試牟利的某些黑客來說,破解Windows系統的漏洞帶來的收益遠大于破解蘋果OS系統的,所以針對微軟的漏洞的惡意程序占據了絕大多數的比例。
2. 也是因為蘋果的PC和筆記本電腦的用戶數量小于微軟Windows系統的用戶數,針對蘋果系統的惡意程序帶來的影響也小于“熊貓燒香”等帶給微軟Windows系統用戶的慘痛。
3.這一格局在iPhone成為街機之后,逐漸產生了扭轉的態勢,因為蘋果的品牌效應,在PC銷量整體萎縮的數年里,Mac電腦的銷量還在維持增長,并且iPhone也在誕生9年后達到了10億部的銷量,對于追求名或利的黑客來說,破解iPhone漏洞的收益都在增加
4.蘋果公司在智能手機時代占據了市場的領先位置,看到了用戶對于安全的需求,蘋果公司也一直標榜iPhone的安全性,不過先后經歷歐美明星iCloud艷照門、FBI破解iPhone 5c、iMessage潛在漏洞等事件后,對于蘋果公司安全性的疑慮在增加。
5.蘋果公司是在激勵善意的黑客,而不是為了利益發現漏洞的黑客,因為那種黑客往往選擇利用漏洞賺更多的錢
6.雖然蘋果公司給出的單筆獎勵很高,但可能給發現漏洞最高獎金的是FBI,是獎勵給破解iPhone 5c系統的黑客的,總價值超過130萬美元。
綜合來說,蘋果公司不在局限于內部程序員尋找系統漏洞,而是求助于“白帽”黑客,通過獎金激勵他們更深入的工作,這樣也會為蘋果公司帶來更多的收益。
蘋果公司近年變得不那么安全 漏洞日益增加
安全數據網站CVEDetails的數據顯示,1999年-2016年中,漏洞排名前三位的分別是微軟、甲骨文和蘋果,其中2015年蘋果公司的漏洞高達654個排名當年的第一,2016年迄今也有234個排名第七。
1.大家曾經認為蘋果公司的系統漏洞少,在1999年,統計的蘋果系統安全漏洞只有個位數,不過在2005年,CVE統計的蘋果系統漏洞破百,并終于在2015年達到高峰。
2.對比多年漏洞排行第一的微軟公司,蘋果公司的漏洞總數少,但微軟公司的安全漏洞是出現在416個產品中,所以平均每個產品的漏洞是11個,而蘋果的總產品數是107個,平均每個產品有32個。
3.蘋果公司漏洞的爆發是隨著產品銷量增多,關注蘋果的程序研究人員增多而增長,不過隨著漏洞發現自然系統的安全性也在增加。
蘋果公司在8月5日更新了iOS 9.3.4的升級,在蘋果公司的升級聲明中注明“重要的安全性更新”,而這距離7月18日的iOS 9.3.3升級剛剛過去不過半個月,在iOS 9.3.3升級中蘋果公司修補了43個漏洞,同日升級的OS X El Capitan v10.11.6則修補了60個漏洞。9月iPhone 7上市時iOS 10正式版也會隨之發布,在距離iOS 10發布僅僅一個月的時候發布新的緊急更新,可見蘋果公司對于維系系統安全性的急切。
隨著人們在智能手機中存入的私人數據越來越多,智能手機公司通過保護用戶數據從而贏得信賴也愈發重要,蘋果在增強iOS和OS X系統上做的越多,對于系統安全性的提升自然也越多。
首發百度百家
關注更多最新海外科技和文化資訊,歡迎關注微信公共號“文觀天下”(wenguantianxia)或掃描下方二維碼聊聊你的看法。歡迎朋友們在百度百家、虎嗅網、鈦媒體、今日頭條、搜狐IT關注我的文章,或加個人微信:wengengmiao。
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。
