【我們為什麼挑選這篇文章】蘋果近年來提供一個抓漏洞計畫,抓到的駭客或研究人員可以領取賞金,或選擇把賞金加倍後捐出去,而來自 Google 的一位駭客就公開了近年來他抓得大量 iOS 漏洞,對蘋果呼籲也讓他領點獎金,或是捐點錢,叫陣的意味相當濃厚。
不過,根據規定,這位 Google 的駭客其實無法領賞,這也是為何他會對蘋果喊話的原因之一。雖然意圖不明,但也說明了這位駭客與 Google 團隊的實力,也算是一次宣傳吧。(責任編輯:林厚勳)
Google 旗下頂尖駭客 Ian Beer,在推特上貼出他多年來找出的 iOS 漏洞,更向蘋果 CEO 提姆.庫克要求,「能否幫我把找的漏洞換獎金,捐給慈善團體呢?」叫陣意味十足。
蘋果 2016 年推出「Bug Bounty」懸賞計畫:抓到漏洞有賞金,或賞金加倍後捐出去
Hi @tim_cook, I've been working for years to help make iOS more secure. Here's a list of all the bugs I reported which qualified for your bug bounty since its launch, could you invite me to the program so we can donate this money to @amnesty? pic.twitter.com/VUKj7BaJ4P
— Ian Beer (@i41nbeer) August 8, 2018
蘋果為維護 iOS 品質,曾於 2016 年推出漏洞懸賞計畫「Bug Bounty」,邀請各方資安人員合力找出系統漏洞,並依類別發放獎金,額度最高的項目可達 20 萬美元,超過 600 萬新台幣,如果選擇捐出去的話則加倍。
身為 Google 資安團隊 Project Zero 成員的 Ian Beer,同時也是世界最頂尖的駭客之一;該團隊平時的任務,便是找出各個軟體的漏洞與後門,而蘋果的作業系統,自然也在他們的研究範圍內。
該團隊在找出軟體漏洞後,會通知廠商進行修正,接著無論對方是否進行處理,都會在 90 天後公開,迫使公司行動。
Google 頂尖駭客秀出抓漏紀錄:我也想領賞!
Ian Beer 近日在推特上,張貼出多年來找出的 iOS 漏洞列表,並依據蘋果抓漏計畫的價碼標出賞金,總計高達 245 萬美元,相當於 7,500 萬新台幣,並希望蘋果能替他將這些賞金捐給國際特赦組織。
該列表甚至包括今年夏天,他稍早前才提交給蘋果的兩個漏洞。
不過,根據《Business Insider》報導,Ian Beer 的身份,實際上並不符合領取賞金的資格;首先,Bug Bounty 主要面向獨立研究人員,希望透過獎金使他們願意回報漏洞,而非販賣給他人或者用於違法用途,但這點上,Ian Beer 本身就是 Google 員工。
其次,Bug Bounty 為邀請制,只有受邀的研究人員,才有參與該計畫的資格,也因此,Ian Beer 才會在文中提到「能否將我邀請進計畫」;若不在計畫內,無論發現多麼重大的 iOS 漏洞,也無法透過這項機制領獎金。
對獎勵計畫頗有微詞,Google 駭客:蘋果只是利用計畫做宣傳
Ian Beer 當然不會不知道這點,他發文的真正意圖為何,目前也尚未分曉;但《Business Insider》指出,Ian Beer 對蘋果的 Bug Bounty 計畫頗有微詞,表示「雖然我不認為蘋果將漏洞懸賞計畫視為宣傳工具,但該計畫實際上替他們做了不少宣傳,高額獎金常被人提起。」並將之比喻成「用一張舒適的毯子包裹自己。」
另外,目前蘋果沒有對這則貼文做出回應。
─ ─
(本文經合作夥伴 智慧機器人網 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 Google 頂尖駭客叫陣蘋果 CEO!「替你抓這麼多漏洞,能否幫我換獎金呢?」 〉。)
其他蘋果的相關文章
赤裸裸的威脅?中共官媒:蘋果最好分紅給我國民,不然小心「民族主義」發作
細數蘋果的五大「罪狀」:連條充電線都做不好,怎麼對得起自己的破兆市值?
蘋果不願侵犯用戶隱私過濾 iMessage 訊息,遭中共官媒狂罵:壞壞!
