蘋果數年前推出的漏洞獎勵計劃,原意是鼓勵保安研究員尋找蘋果系統漏洞以便改善。但蘋果缺乏溝通、遲緩付款和無視報告,引發不少參與者不滿。
該計劃2016年開始,邀請有道德的駭客和保安研究員尋找蘋果軟、硬件的漏洞以換取獎金,2019年蘋果將計劃延伸至所有研究員。
《華盛頓郵報》報道,不少研究員相信蘋果對修補漏洞的緩慢回應、拖延付款或溝通和蘋果只顧自己利益的文化,不只傷害這項計劃,還傷害蘋果裝置的保安。
例如有前任和現任員工表示,蘋果積累了大量尚未修補的漏洞。曾助國防部建立漏洞獎勵計劃的保安公司Luta Security執行長穆蘇里絲(Katie Moussouris)指出,這樣只會令找出和報告問題給蘋果的人感到沮喪。
她說︰「你必要有一個健康的內部漏洞修補機制,才可以試圖有一個健康的漏洞修補報告計劃。如果他們報告了你已經知道但無解決的漏洞,又或者他們報告了某些事,你花了500天才修補,你會預期發生何事?」
研究員稱,其他問題是蘋果的獎勵金額。例如容許駭客可以未經許可存取敏感數據的漏洞和濫用,蘋果的計劃最高獎金為10萬元。
保安研究公司Synack創辦人卡普蘭(Jay Kaplan)指出,由於蘋果計劃如此聲譽,研究員沒有再向蘋果報告漏洞,反而他們去保安會議公開談論問題,甚至於黑市出售。
最少一名iOS工程師Tian Zhang(音譯︰張天)表示,蘋果無視他提出的其中一份漏洞報告,又沒有發放獎金,但他後來發現該公司將該漏洞修補,令他覺得很難受。
儘管有漏洞獎勵計劃,但現有黑市專售賣iOS漏洞。針對蘋果平台的漏洞濫用最高叫價可達200萬元,稍低於Android同類漏洞的250萬元。
蘋果保安工程部主任克斯迪斯(Ivan Krstic)形容該獎勵計劃「巨大成功」,但當被問到有保安研究員報告漏洞後卻未獲酬勞,克斯迪斯卻文不對題,只稱蘋果著手解決這些漏洞。她說︰「當我們犯錯,我們會努力迅速糾正,並從中學習迅速改善那個計劃。」本報訊
