所有的軟體都是由**構成,程式設計師知道乙個程式很難避免有漏洞,不過在移動網際網路的時代,當人們所有的私人**、銀行賬戶與支付資訊、社交應用上的聊天記錄、行蹤記錄和健康資訊都儲存在乙個小小的智慧型手機上的時候,科技公司封堵漏洞以保護使用者的資料安全變得日益重要。
一直堅持iphone的安全是堅不可摧的蘋果公司也迫於壓力,向其他程式設計師伸出橄欖枝。蘋果公司的安全負責人ivan krstic周四在black hat(黑帽大會)上宣布,將向在蘋果產品的系統中發現漏洞的研究人員獎勵最高20萬美元。
蘋果公司也加入漏洞www.cppcns.com懸賞陣營 矽谷大公司已經發出數百萬美元獎勵
蘋果是漏洞懸賞的後來者,此舉彰顯了安全漏洞對於蘋果公司聲譽的威脅正在加重,蘋果公司不得不借助更多研究者的力量。過去的幾程式設計客棧年中,微軟、google母公司alphabet、facebook等都為有價值的安全資訊支付了獎勵,總額度已經達到數百萬美元,微軟累計發出150萬美元,facebook累計發出了400萬美元。
蘋果參加漏洞懸賞本來就比其他大公司要晚,在ivan krstic宣布的蘋果security bounty安全獎勵機制將僅限定在不到30名程式研究人員中,這些人都是程式專業人士,有一些人過去曾幫助蘋果公司找到安全漏洞,蘋果公司也可能在未來擴大邀請程式研究人員的範圍,不過目前的範圍遠沒有其他科技公司那麼開放。
蘋果公司公布的漏洞懸賞針對5個類別的漏洞,在阻止未授權程式啟動的防火牆中發現漏洞最高會被獎勵20萬美元。其他的獎勵類別包括:從secure encl**e中發現洩漏機密資訊的漏洞,最高可獎勵10萬美元;訪問蘋果公司伺服器icloud賬戶的漏洞,最高獎勵5萬美元;在安全沙盒之外訪問使用者資料的漏洞,最高獎勵2.5萬美元。
蘋果公司如此謹慎限定參與者的範圍,一方面是操作初期,沒有更多程式設計客棧人員處理大量的漏洞舉報,限定專業安全研究人士有助於針對性的發現高等級的安全漏洞,另一方面,蘋果公司並不想形成所有程式愛好者蜂擁而至的局面,那樣會引發對於蘋果公司系統安全的更多疑慮。
目前已有數十家科技公司為找出漏洞的程式設計師提供獎勵,隨著汽車越來越依賴於軟體控制系統,汽車業的相關企業也開始發布漏洞懸賞,如特斯拉和通用汽車公司。
蘋果曾經被認為安全性更高 但形勢已經發生變化
在許多人的意識中,蘋果公司ios系統和os 系統比windows和android作業系統在感覺上更安全些,在某種程度上這是對的,在某種程度上這種看法不正確。
1. 在pc時代的很多年,windows系統佔據絕大多數使用者的桌面pc,蘋果的pc和膝上型電腦的使用者數量遠小於微軟的使用者數,對於研究漏洞並嘗試牟利的某些黑客來說,破解windows系統的漏洞帶來的收益遠大於破解蘋果os系統的,所以針對微軟的漏洞的惡意程式佔據了絕大多數的比例。
2. 也是因為蘋果的pc和膝上型電腦的使用者數量小於微軟windows系統的使用者數,針對蘋果系統的惡意程式帶來的影響也小於「熊貓燒香」等帶給微軟windows系統使用者的慘痛。
3.這一格局在iphone成為街機之後,逐漸產生了扭轉的態勢,因為蘋果的品牌效應,在pc銷量整體萎縮的數年裡,mac電腦的銷量還在維持增長,並且iphone也在誕生9年後達到了10億部的銷量,對於追求名或利的黑客來說,破解iphone漏洞的收益都在增加
4.蘋果公司在智慧型手機時代佔據了市場的領先位置,看到了使用者對於安全的需求,蘋果公司也一直標榜iphone的安全性,不過先後經歷歐美明星icloud**門、fbi破解iphone 5c、imessage潛在漏洞等事件後,對於蘋果公司安全性的疑慮在增加。
5.蘋果公司是在激勵善意的黑客,而不是為了利益發現漏洞的黑客,因為那種黑客往往選擇利用漏洞賺更多的錢
6.雖然蘋果公司給出的單筆獎勵很高,但可能程式設計客棧給發現漏洞最高獎金的是fbi,是獎勵給破解iphone 5c系統的黑客的,總價值超過130萬美元。
綜合來說,蘋果公司不在侷限於內部程式設計師尋找系統漏洞,而是求助於「白帽」黑客,通過獎金激勵他們更深入的工作,這樣也會為蘋果公司帶來更多的收益。
蘋果公司近年變得不那麼安全 漏洞日益增加
安全資料**cvedetails的資料顯示,2023年-2023年中,漏洞排名前三位的分別是微軟、甲骨文和蘋果,其中2023年蘋果公司的漏洞高達654個排名當年的第一,2023年程式設計客棧迄今也有234個排名第七。
漏洞總數排行榜
蘋果公司按年的漏洞數
1.大家曾經認為蘋果公司的系統漏洞少,在2023年,統計的蘋果系統安全漏洞只有個位數,不過在2023年,cve統計的蘋果系統漏洞破百,並終於在2023年達到高峰。
2.對比多年漏洞排行第一的微軟公司,蘋果公司的漏洞總數少,但微軟公司的安全漏洞是出現在416個產品中,所以平均每個產品的漏洞是11個,而蘋果的總產品數是107個,平均每個產品有32個。
3.蘋果公司漏洞的爆發是隨著產品銷量增多,關注蘋果的程式研究人員增多而增長,不過隨著漏洞發現自然系統的安全性也在增加。
蘋果公司按年漏洞數的柱狀圖和按類別的柱狀圖
蘋果公司近期更新的漏洞名稱
蘋果公司在8月5日更新了ios 9.3.4的公升級,在蘋果公司的公升級宣告中註明「重要的安全性更新」,而這距離7月18日的ios 9.3.3公升級剛剛過去不過半個月,在ios 9.3.3公升級中蘋果公司修補了43個漏洞,同日公升級的os x el capitan v10.11.6則修補了60個漏洞。9月iphone 7上市時ios 10正式版也會隨之發布,在距離ios 10發布僅僅乙個月的時候發布新的緊急更新,可見蘋果公司對於維繫系統安全性的急切。
隨著人們在智慧型手機中存入的私人資料越來越多,智慧型手機公司通過保護使用者資料從而贏得信賴也愈發重要,蘋果在增強ios和os x系統上做的越多,對於系統安全性的提公升自然也越多。
本文標題: 蘋果也加入漏洞懸賞 蘋果系統漏洞其實比你想象的多
本文位址:
承認「變磚」 蘋果系統漏洞頻現
昨日,蘋果官方承認ios裝置存在 1970 變磚漏洞,並表示會推出更新解決這一問題。近兩年蘋果產品屢屢出現不穩定和質量問題,已經很難再支撐品牌 質量擔當 的名號。業內人士認為,蘋果逐漸放開系統限制以及核心人物的離職,是導致該品牌產品近年來缺乏創新和穩定的原因。所謂 1970 變磚漏洞,就是將ios裝...
蘋果「後門」洩密?專家 安卓系統漏洞更多
日前,蘋果公司首次承認,可以通過一項此前並未公開的技術來提取iphone中簡訊 通訊錄和 等個人資料。手機專家則表示,事實上,國產手機大多是安卓系統,也存在類似的安全漏洞,也有留 後門 的可能性。然而,從 的角度考慮,公職人員最好使用國產手機。日前,一位法國科學家兼ios黑客喬納森在蘋果移動作業系統...
蘋果系統漏洞頻現 鎖屏密碼完全失效
蘋果ios系統被指存在漏洞,其可能被利用使得鎖屏密碼完全失效。安全研究公司 漏洞實驗室 分析師班傑明 昆茲發布報告指出,通過乙個應用程式公升級漏洞,本地的惡意攻擊者能夠繞過密碼鎖屏保護,使用者通過處理安裝乙個手機ios應用程式導致漏洞的發生。惡意攻擊者完全可以利用該漏洞,繞過鎖屏密碼,然後使目標裝置...