蘋果公司將75,000美元獎勵給了一名黑客,該黑客發現了可讓他劫持iPhone和Mac相機的漏洞。據《福布斯》報道,安全研究員和前亞馬遜網絡服務安全工程師瑞安·皮克倫(Ryan Pickren)向 Apple 披露了至少7個Safari漏洞,這些漏洞中的三個可以用來劫持iOS和macOS設備的相機。該漏洞要求受害者訪問惡意網站,如果該網站以前信任過視頻會議服務(如Zoom),則可以訪問其設備的相機。
皮克倫對《福布斯》說:“這樣的一個bug說明了為什麼用戶永遠不應該對自己的相機是安全的充滿信心,而不管是操作系統還是製造商。”皮克倫在2019年12月中旬向Apple通報了他的發現,Apple驗證了所有七個漏洞,並在幾周後發佈了針對iOS和macOS攝像機漏洞的修復程序,然後向安全研究人員支付了75000美元,皮克倫說這是他從公司獲得的第一筆收入。
安全研究員肖恩·賴特(Sean Wright)告訴《福布斯》,皮克倫發現的漏洞,即使需要受害者訪問惡意網站,也是“一種非常可行的攻擊形式”。Wright補充說,與計算機網絡攝像頭的關注相比,並沒有過多地關注移動電話的攝像頭和麥克風,他說,如果攻擊者想竊聽其目標,這是很有可能的途徑。
錯誤賞金
錯誤賞金計劃可以激勵安全研究人員幫助技術公司發現其軟件中的漏洞,而不是利用這些漏洞落入惡意黑客的手中。
蘋果公司在2016年推出了一個bug懸賞計劃,在2019年8月做出了一些改變,包括增加了100萬美元的獎勵,獎勵那些可能發起“持續零點擊全鏈內核執行攻擊”的黑客。
蘋果競爭對手谷歌也對其慷慨的漏洞賞金計劃非常慷慨,因為“具有持久性的全鏈遠程代碼執行漏洞會損害Pixel設備上的Titan M安全元素” ,因此最高可獲得150萬美元的獎勵。獎勵內容是“利用持久性進行全鏈遠程代碼執行,損害像素設備上的Titan M安全元素”。2019年,谷歌共支付了650萬美元的bug懸賞,自該計劃於2010年啟動以來,總共花費了2100萬美元。
閱讀更多 SSTAP 的文章
