苹果公司将75,000美元奖励给了一名黑客,该黑客发现了可让他劫持iPhone和Mac相机的漏洞。据《福布斯》报道,安全研究员和前亚马逊网络服务安全工程师瑞安·皮克伦(Ryan Pickren)向 Apple 披露了至少7个Safari漏洞,这些漏洞中的三个可以用来劫持iOS和macOS设备的相机。该漏洞要求受害者访问恶意网站,如果该网站以前信任过视频会议服务(如Zoom),则可以访问其设备的相机。
皮克伦对《福布斯》说:“这样的一个bug说明了为什么用户永远不应该对自己的相机是安全的充满信心,而不管是操作系统还是制造商。”皮克伦在2019年12月中旬向Apple通报了他的发现,Apple验证了所有七个漏洞,并在几周后发布了针对iOS和macOS摄像机漏洞的修复程序,然后向安全研究人员支付了75000美元,皮克伦说这是他从公司获得的第一笔收入。
安全研究员肖恩·赖特(Sean Wright)告诉《福布斯》,皮克伦发现的漏洞,即使需要受害者访问恶意网站,也是“一种非常可行的攻击形式”。Wright补充说,与计算机网络摄像头的关注相比,并没有过多地关注移动电话的摄像头和麦克风,他说,如果攻击者想窃听其目标,这是很有可能的途径。
错误赏金
错误赏金计划可以激励安全研究人员帮助技术公司发现其软件中的漏洞,而不是利用这些漏洞落入恶意黑客的手中。
苹果公司在2016年推出了一个bug悬赏计划,在2019年8月做出了一些改变,包括增加了100万美元的奖励,奖励那些可能发起“持续零点击全链内核执行攻击”的黑客。
苹果竞争对手谷歌也对其慷慨的漏洞赏金计划非常慷慨,因为“具有持久性的全链远程代码执行漏洞会损害Pixel设备上的Titan M安全元素” ,因此最高可获得150万美元的奖励。奖励内容是“利用持久性进行全链远程代码执行,损害像素设备上的Titan M安全元素”。2019年,谷歌共支付了650万美元的bug悬赏,自该计划于2010年启动以来,总共花费了2100万美元。
閱讀更多 SSTAP 的文章
