前越狱,现在是安全专家的乔纳森·兹迪亚斯基(Jonathan Zdzyarski)进行的调查的屏幕截图。 他最近改用苹果公司工作,并删除了他的Twitter帐户。2016年8月,Apple
针对发现的漏洞启动了
奖励计划 。 长期以来,几乎所有大型IT公司都在使用此类程序。 长期以来一直拒绝向微软支付报酬,但是她在2013年放弃了
微软的赏金计划 。 也许苹果仍然是不向黑客付款的大量产品制造商中的最后一个,因此社区开始接受有关开始支付报酬的消息。
唯一的问题是,在过去的一年中,我们没有听说有人从苹果公司收到钱。 也许只是禁止他们谈论此事。 或者,也许他们更喜欢在黑市上以更高的价格出售漏洞。
苹果为何拖延了这么长时间而不引入漏洞支付程序? 该版本是由该公司前员工(在安全部门工作)表达的,在
Motherboard的
评论中表示 :“苹果不喜欢发布包括漏洞支付程序在内的东西,直到它完美为止。 他们是完美主义者。” 该员工希望掩盖自己的名字,因为他违反了保密协议(NDA)。
实际上,如果您要使项目达到理想状态,则有机会永远不会发布它。
但是,在联邦调查局(FBI)发生丑闻之后,很明显不可能进一步采取行动了。 回想一下,联邦调查局很长时间以来一直要求苹果破解恐怖分子电话上的加密系统,但苹果拒绝这样做,以保护其他用户免遭窃听。 最终,联邦调查局特工在没有苹果帮助的情况下完成了这项任务,为第三方黑客公司支付了服务,该公司可立即使用iOS的0day漏洞。 情报机构为此付出了巨大的代价。 大概
超过130万美元 。
纽约时报》随后
写道 ,黑客没有将系统中的错误告知苹果,因为他们没有动力这样做。 我的意思是,没有任何经济诱因-苹果随后没有为漏洞报告付费。
Yabloko公司做出了正确的结论,并于8月启动了一项财务激励计划。 没错,她在这里以自己的方式行事,不像其他任何人。 尽管该计划的公告是公开的,但否则苹果继续秘密行动。 该计划的条款不是公开可用的,只有受邀才能参加。
我们可以从苹果安全部门负责人伊凡·科斯蒂克(Ivan Krstic)的演讲中了解奖励的规模。 正如其中一张幻灯片所示,黑客入侵安全启动固件组件可获得最高20万美元的奖励。 离开沙箱并访问用户个人数据的过程的最低限额为25,000美元。
Ivan Krstic演讲的幻灯片据信,即使是20万美元,对于iOS的0day来说,也是一笔不足够的数额。 这些漏洞很少见,因此在黑市上,它们的成本要高得多。 例如,在Krstic演讲后不久,Zerodium就购买iOS漏洞利用软件
提高了定价 。 因此,对于最有价值的东西-iOS 10的远程越狱,他们已经支付了150万美元,而不是之前的50万美元。
新Zerodium定价那么,您在哪里出售越狱产品-在苹果以20万美元的价格出售在Zerodium还是在Zerodium以150万美元的价格出售? 这可能是一个反问。 很少有人会为Zerodium与不同国家的特殊服务和执法机构合作而感到尴尬,而Zerodium的漏洞可用于国家间谍活动和其他不太漂亮的事情。
顺便说一下,如果苹果将漏洞利用价格提高到灰色市场水平,这将解决问题,这远非事实。 在这里,经济运作如下。 如果苹果提高价格,那么iOS的0day将变得更加罕见-灰色市场的价格将上涨更多。 也就是说,我们将返回到开始的地方。 尽管实际上未公开的错误确实会更少。 通常,这是漏洞支付程序的主要目标。
目前,零日漏洞的买家可以分为三类:
- 苹果本身。
- 犯罪:黑手党,犯罪集团等。
- 大型机构,包括国家情报机构:NSA,Mossad,GRU,ISIS(在俄罗斯被禁止)等。
苹果在银行中有大量的货币储备。 通过秘密的子公司,她
带动了超过2000亿美元的离岸业务 。 这笔钱可以用了。 苹果可以轻松地提高对漏洞利用的奖励,以至于犯罪(黑手党,犯罪集团)无法与之抗衡。 但是她永远无法与情报机构竞争,情报机构的资源几乎是无限的,不仅限于金钱。 无论您做什么工作以及因发现漏洞而获得的奖励,这些人将始终拥有专属的0day。