苹果在去年的黑帽大会上推出捉虫项目
腾讯科技讯 据外媒报道,拥有本身操作系统的公司为了提升系统安适性通常都会推出“赏金捉虫”项目,苹果也不例外。不过它们的捉虫项目遭遇了尴尬,那些通过邀请制加入该项目的安适研究人员不太给苹果面子,他们通常会雪藏本身找到的漏洞到灰市(半合法市场)售卖,因为那里明显给的人为更高。
Motherboard采访了十位捉虫项目参与者,他们均体现苹果的漏洞价值很高,根本不舍得上报(这十个人都没给苹果上报过任何漏洞)。最尴尬的是,参与该项目的研究人员现在没有一个人拿到过苹果的赏金。
“如果将漏洞卖给别人,就能拿到更多现金。”去年加入该项目的安适研究专家尼基亚斯-巴森说道。“如果参与捉虫项目就是为了挣钱,必定不会有人把发现的漏洞呈交给苹果。”
苹果在去年的黑帽大会上正式推出了捉虫项目,,起初该项目最高赏金达 20 万美元,但还没进行多久赏金就降到了 10 万美元,有的漏洞赏金则只有2. 5 万美元。
与苹果比拟,第三方公司显然更豪气。如果你能找到可以搞定iPhone越狱的漏洞,Zerodium的最高奖金甚至可达 150 万美元。对于较为重要的iOS的漏洞,也有公司愿意出价 50 万美元。当然,这些公司拿到漏洞后会进行合法利用,因此即使研究人员将漏洞卖给它们也并不违背道德。
此外,精明的研究者们还想在苹果系统上保存本身的“奥秘花园”,如果将漏洞上报苹果,它们可能就会顺藤摸瓜封掉所有通路,到时连研究人员本身也进不去了。同时,研究人员一直想让苹果放开权限,提供一些开发者设备供他们研究,但一向喜欢保密的苹果并差别意。(编译/锐志)