Bug赏金项目即将推出 苹果秘邀知名黑客到总部

9月29日消息，据《福布斯》网站报道，消息人士透露，苹果最近邀请部分知名黑客，到其位于加州库比蒂诺(Cupertino)的总部举行秘密会议，这次会议可能与该公司即将推出的“Bug(漏洞)赏金项目”有关。

卢卡·托德斯科(Luca Todesco)，一位19岁的青年，他是成功越狱iPhone 7的第一人;尼古拉斯·阿莱格拉(Nicholas Allegra)，一位前十几岁的天才，已成为世界著名的iOS黑客;帕特里克·沃德尔(Patrick Wardle)，一位前美国国家安全局的职员，曾多次发现Mac OS X的安全漏洞。消息人士透露，他们只是来到加州库比蒂诺(Cupertino)与苹果举行会谈的黑客中的几位。苹果对这次会议的整个过程进行了封锁，要求参会者不得对外泄露会议的内容。

消息人士称，苹果向他们介绍了该公司即将推出的“Bug(漏洞)赏金项目”——根据该项目，如果他们发现该公司旗下所有笔记本电脑和手机的漏洞，并向该公司提供漏洞的消息，他们将获得最高20万美元的奖金。根据苹果在今年拉斯维加斯黑帽(Black Hat)大会上的承诺，“Bug赏金项目”预计将在本月底前推出。与其他公司的Bug赏金项目不同，苹果对参与该项目的黑客进行了限制，只限于该公司邀请的黑客。苹果这样做是为了追求参与者的质量，而不是数量，但可能将那些能提供有价值漏洞消息的黑客排除在外。

《福布斯》获悉，受苹果邀请参与苹果Bug赏金项目的，还包括知名iPhone和Mac黑客弗朗西斯科·阿隆索(Francisco Alonso)、斯特凡·埃塞尔(Stefan Esser)、布雷登·托马斯(Braden Thomas)、佩德罗·维拉克(Pedro Vilaca)和乔纳森?扎德尔斯基(Jonathan Zdziarski)。前苹果工程师亚历克斯·约内斯库(Alex Ionescu)、史蒂芬德·德弗朗科(Steven De Franco，在越狱社区外号为“ih8sn0w”)，以及中国著名的盘古越狱团队成员之一徐昊也在受邀名单之中。

一位不愿透露姓名的消息人士称，苹果已经通过一份安全研究专家的名单，他们之前均已向苹果提交漏洞报告，从中选出所批参与Bug赏金项目的人选。目前邀请名单“人数不是很多”，苹果希望“专注于获得可操作的信息”，而不希望应付层出不穷的报告。

截止文章发稿时，苹果没有回应置评请求。苹果希望对本次会议严格保密，所以该公司甚至没有告诉与会者邀请他们到库比蒂诺参加什么活动。

由于没有及早建立Bug赏金项目，苹果一直面临着批评。但当该公司宣布奖金高达20万美元时，给人留下了深刻印象。到目前为止，包括Facebook、谷歌和微软在内，还没有那家科技巨头的Bug赏金项目提供这么高的奖金。但也有些人指出，安全研究专家如果将发现iOS的漏洞出售给Zerodium或Exodus Intel等公司，获得的奖金可能超过100万美元。Zerodium等公司的盈利方式，是帮助执法部门破解涉案设备。

苹果面临大量需要解决的安全问题。上月，就有媒体曝光以色列一家监控供应商NSO Group试图在阿联酋一位活动家的iPhone上安装了恶意软件。这次攻击中，NSO计划利用iOS软件上的三处独立的零日漏洞(以前未知的、未打补丁的软件缺陷)，偷偷将自家监控软件安装到iPhone上。简单来说，只要点击了他们发出的一条文本链接，他们就可以发起攻击。但阿联酋活动家艾哈迈德·曼苏尔(Ahmed Mansoor)识破了这一把戏。在这三个漏洞披露后的10天内，苹果就进行了修复，显示该公司如果能获得有关漏洞的警告，它能非常高效地保护用户。

就在上周，苹果被发现iOS 10对iTunes备份文件采用更弱的密码认证机制，使得这些文件很容易遭到攻击。而周一，有消息称曾经攻入美国民主党总部电脑的黑客团队，已开发针对苹果Macs电脑的恶意软件。

本文转自d1net（转载）