所有的软件都是由代码构成,程序员知道一个程序很难避免有漏洞,不过在移动互联网的时代,当人们所有的私人照片、银行账户与支付信息、社交应用上的聊天记录、行踪记录和健康信息都存储在一个小小的智能手机上的时候,科技公司封堵漏洞以保护用户的数据安全变得日益重要。
一直坚持iPhone的安全是坚不可摧的苹果公司也迫于压力,向其他程序员伸出橄榄枝。苹果公司的安全负责人Ivan Krstic周四在Black Hat(黑帽大会)上宣布,将向在苹果产品的系统中发现漏洞的研究人员奖励最高20万美元。
苹果公司也加入漏洞悬赏阵营 硅谷大公司已经发出数百万美元奖励
苹果是漏洞悬赏的后来者,此举彰显了安全漏洞对于苹果公司声誉的威胁正在加重,苹果公司不得不借助更多研究者的力量。过去的几年中,微软、Google母公司Alphabet、Facebook等都为有价值的安全信息支付了奖励,总额度已经达到数百万美元,微软累计发出150万美元,Facebook累计发出了400万美元。
苹果参加漏洞悬赏本来就比其他大公司要晚,在Ivan Krstic宣布的苹果Security Bounty安全奖励机制将仅限定在不到30名程序研究人员中,这些人都是程序专业人士,有一些人过去曾帮助苹果公司找到安全漏洞,苹果公司也可能在未来扩大邀请程序研究人员的范围,不过目前的范围远没有其他科技公司那么开放。
苹果公司公布的漏洞悬赏针对5个类别的漏洞,在阻止未授权程序启动的防火墙中发现漏洞最高会被奖励20万美元。其他的奖励类别包括:从Secure Enclave中发现泄漏机密信息的漏洞,最高可奖励10万美元;访问苹果公司服务器iCloud账户的漏洞,最高奖励5万美元;在安全沙盒之外访问用户数据的漏洞,最高奖励2.5万美元。
苹果公司如此谨慎限定参与者的范围,一方面是操作初期,没有更多人员处理大量的漏洞举报,限定专业安全研究人士有助于针对性的发现高等级的安全漏洞,另一方面,苹果公司并不想形成所有程序爱好者蜂拥而至的局面,那样会引发对于苹果公司系统安全的更多疑虑。
目前已有数十家科技公司为找出漏洞的程序员提供奖励,随着汽车越来越依赖于软件控制系统,汽车业的相关企业也开始发布漏洞悬赏,如特斯拉和通用汽车公司。
苹果曾经被认为安全性更高 但形势已经发生变化
在许多人的意识中,苹果公司iOS系统和OS 系统比Windows和Android操作系统在感觉上更安全些,在某种程度上这是对的,在某种程度上这种看法不正确。
1.在PC时代的很多年,Windows系统占据绝大多数用户的桌面PC,苹果的PC和笔记本电脑的用户数量远小于微软的用户数,对于研究漏洞并尝试牟利的某些黑客来说,破解Windows系统的漏洞带来的收益远大于破解苹果OS系统的,所以针对微软的漏洞的恶意程序占据了绝大多数的比例。
2.也是因为苹果的PC和笔记本电脑的用户数量小于微软Windows系统的用户数,针对苹果系统的恶意程序带来的影响也小于“熊猫烧香”等带给微软Windows系统用户的惨痛。
3.这一格局在iPhone成为街机之后,逐渐产生了扭转的态势,因为苹果的品牌效应,在PC销量整体萎缩的数年里,Mac电脑的销量还在维持增长,并且iPhone也在诞生9年后达到了10亿部的销量,对于追求名或利的黑客来说,破解iPhone漏洞的收益都在增加
4.苹果公司在智能手机时代占据了市场的领先位置,看到了用户对于安全的需求,苹果公司也一直标榜iPhone的安全性,不过先后经历欧美明星iCloud艳照门、FBI破解iPhone 5c、iMessage潜在漏洞等事件后,对于苹果公司安全性的疑虑在增加。
5.苹果公司是在激励善意的黑客,而不是为了利益发现漏洞的黑客,因为那种黑客往往选择利用漏洞赚更多的钱
6.虽然苹果公司给出的单笔奖励很高,但可能给发现漏洞最高奖金的是FBI,是奖励给破解iPhone 5c系统的黑客的,总价值超过130万美元。
综合来说,苹果公司不在局限于内部程序员寻找系统漏洞,而是求助于“白帽”黑客,通过奖金激励他们更深入的工作,这样也会为苹果公司带来更多的收益。
苹果公司近年变得不那么安全 漏洞日益增加
安全数据网站CVEDetails的数据显示,1999年-2016年中,漏洞排名前三位的分别是微软、甲骨文和苹果,其中2015年苹果公司的漏洞高达654个排名当年的第一,2016年迄今也有234个排名第七。
1.大家曾经认为苹果公司的系统漏洞少,在1999年,统计的苹果系统安全漏洞只有个位数,不过在2005年,CVE统计的苹果系统漏洞破百,并终于在2015年达到高峰。
2.对比多年漏洞排行第一的微软公司,苹果公司的漏洞总数少,但微软公司的安全漏洞是出现在416个产品中,所以平均每个产品的漏洞是11个,而苹果的总产品数是107个,平均每个产品有32个。
3.苹果公司漏洞的爆发是随着产品销量增多,关注苹果的程序研究人员增多而增长,不过随着漏洞发现自然系统的安全性也在增加。
苹果公司在8月5日更新了iOS 9.3.4的升级,在苹果公司的升级声明中注明“重要的安全性更新”,而这距离7月18日的iOS 9.3.3升级刚刚过去不过半个月,在iOS 9.3.3升级中苹果公司修补了43个漏洞,同日升级的OS X El Capitan v10.11.6则修补了60个漏洞。9月iPhone 7上市时iOS 10正式版也会随之发布,在距离iOS 10发布仅仅一个月的时候发布新的紧急更新,可见苹果公司对于维系系统安全性的急切。
随着人们在智能手机中存入的私人数据越来越多,智能手机公司通过保护用户数据从而赢得信赖也愈发重要,苹果在增强iOS和OS X系统上做的越多,对于系统安全性的提升自然也越多。