https://is.gd/ohgxcx
蘋果 2016 年推出「Bug Bounty」懸賞計畫:抓到漏洞有賞金,或賞金加倍後捐出去
蘋果為維護 iOS 品質,曾於 2016 年推出漏洞懸賞計畫「Bug Bounty」,邀請各方資安人
員合力找出系統漏洞,並依類別發放獎金,額度最高的項目可達 20 萬美元,超過 600 萬
新台幣,如果選擇捐出去的話則加倍。
身為 Google 資安團隊 Project Zero 成員的 Ian Beer,同時也是世界最頂尖的駭客之一
;該團隊平時的任務,便是找出各個軟體的漏洞與後門,而蘋果的作業系統,自然也在他們
的研究範圍內。
該團隊在找出軟體漏洞後,會通知廠商進行修正,接著無論對方是否進行處理,都會在 90
天後公開,迫使公司行動。
Google 頂尖駭客秀出抓漏紀錄:我也想領賞!
Ian Beer 近日在推特上,張貼出多年來找出的 iOS 漏洞列表,並依據蘋果抓漏計畫的價碼
標出賞金,總計高達 245 萬美元,相當於 7,500 萬新台幣,並希望蘋果能替他將這些賞金
捐給國際特赦組織。
該列表甚至包括今年夏天,他稍早前才提交給蘋果的兩個漏洞。
不過,根據《Business Insider》報導,Ian Beer 的身份,實際上並不符合領取賞金的資
格;首先,Bug Bounty 主要面向獨立研究人員,希望透過獎金使他們願意回報漏洞,而非
販賣給他人或者用於違法用途,但這點上,Ian Beer 本身就是 Google 員工。
其次,Bug Bounty 為邀請制,只有受邀的研究人員,才有參與該計畫的資格,也因此,Ian
Beer 才會在文中提到「能否將我邀請進計畫」;若不在計畫內,無論發現多麼重大的 iOS
漏洞,也無法透過這項機制領獎金。
對獎勵計畫頗有微詞,Google 駭客:蘋果只是利用計畫做宣傳
Ian Beer 當然不會不知道這點,他發文的真正意圖為何,目前也尚未分曉;但《Business
Insider》指出,Ian Beer 對蘋果的 Bug Bounty 計畫頗有微詞,表示「雖然我不認為蘋果
將漏洞懸賞計畫視為宣傳工具,但該計畫實際上替他們做了不少宣傳,高額獎金常被人提起
。」並將之比喻成「用一張舒適的毯子包裹自己。」
另外,目前蘋果沒有對這則貼文做出回應。
ios號稱世界上最穩定最安全的作業系統,每年都被越獄不說,還被挖出這麼多漏洞,Ios11
更是問題一堆,反觀Google真佛心公司,還幫對手找漏洞,真是高下立判。