圖片來源: 

photo by Laurenz Heymann on unsplash

《華盛頓郵報》(The Washington Post)採訪了逾20名安全研究人員,指出蘋果的抓漏專案風評並不佳,研究人員抱怨蘋果不但封閉、支付獎金的動作慢、所支付的金額經常與研究人員的期望有所落差,而且經常很久才修補。

蘋果於2016年開始實施抓漏獎勵專案,當時該專案只適用於iOS及iCloud,一直到2019年才擴大至macOS、watchOS與Apple TV,單一漏洞的最高獎金為100萬美元。

其中有一名39歲的安全研究人員Cedric Owens表示,他在今年提交了一些有關macOS的安全漏洞,雖然他所提出的概念性驗證程式無法存取通訊錄、郵件、訊息等機密資料,但他認為駭客應該可藉由相關漏洞存取受害者的檔案,對於未經授權即可存取機密資料的macOS漏洞,蘋果理應提供10萬美元的獎金,但Owens只拿到5,000美元的獎金。

另一名安全研究人員Nicolas Brunner,則是發現蘋果的位置追蹤系統含有安全漏洞,就算使用者關閉了追蹤,他所開發的程式依然能夠看到這些使用者的蹤跡,在向蘋果提報之後,蘋果謝了他,還說會把漏洞的發現歸功於他,Brunner預期自己可收到5萬美元的獎勵,結果蘋果在8個月之後告訴他該漏洞不符領獎資格。

不過,有一名年僅21歲的安全研究人員Sam Curry,從去年夏天才開始呼朋引伴地一起鑽研蘋果的平臺漏洞,且平均每幾天就會提交新漏洞,他們這個5人團隊一年來就獲得蘋果頒發的50萬美元獎金,占蘋果總獎金的13%。只是,Curry也說,跟其它提供抓漏獎勵的企業相較,蘋果支付獎金的時間拖太久了。

另一名iOS軟體工程師Tian Zhang從2017年起,就向蘋果提報iOS的安全漏洞,當他發現蘋果直至好幾個月之後還不修補,便把漏洞公諸於世,還有幾次蘋果修補了他所提報的漏洞,但完全沒有回應也未獎勵他。

至於蘋果的封閉,則是來自於蘋果不太願意與安全研究人員討論漏洞未符合資格,或者是獎金規模的判別標準,而且蘋果提供給研究人員的iPhone上仍有層層的安全限制,也讓研究受限。

蘋果今年已經聘請了一名新的主管來負責抓漏專案,目的就是要進行改革,或許能夠改善蘋果在安全社群的名聲。


熱門新聞

Advertisement