苹果公布有奖捉虫计划

据AppleInsider北京时间7月7日报道，由于安全人员不向苹果报告发现的安全缺陷，而是在黑市上高价出售，苹果的有奖捉虫计划开局不利。

在接受Motherboard采访时，受邀参加苹果有奖捉虫计划的研究人员表示，iOS安全缺陷价格太高，不愿意报告给苹果。

参与者不愿意向苹果报告发现的系统缺陷，原因是安全缺陷在黑市上价格更高，它们会影响进一步的研究工作。迄今为止，参与者尚未公开宣布获得一笔奖励。

Zimperium安全研究人员尼基亚斯·巴森(Nikias Bassen)表示，“如果把安全缺陷卖给其他人，安全研究人员可以获得更多现金。如果查找系统缺陷的目的只是为了钱，研究人员就不会把发现的缺陷直接报告给苹果。”

在Motherboard采访的10名研究人员中，没有1个人向苹果提交报告。

苹果在2016年黑帽大会上公布了有奖捉虫计划，目的是发现零日缺陷，增强系统安全性能。根据苹果的计划，发现与安全启动固件组件有关的缺陷，研究人员可以获得20万美元奖金；发现可访问Secure Enclave Processor保护的安全信息的缺陷，奖金为10万美元；发现能以内核权限执行任意代码的缺陷，奖金为5万美元；能在没有授权的情况下访问苹果服务器上iCloud账户数据的缺陷，奖金为5万美元；能访问沙盒进程、用户数据的缺陷，奖金为2.5万美元。

有媒体报告称，对于能越狱iPhone的全套缺陷，Zerodium等公司的出价高达150万美元。根据缺陷的价值，其他公司对iOS缺陷的出价也高达50万美元。这些公司称它们是守法经营，向考虑保护它们网络的机构、执法部门和情报部门出售零日安全缺陷。

研究人员也对向苹果报告安全缺陷持谨慎态度，因为这不利于他们自己的研究工作。iOS安全性能非常高，需要借助多个缺陷，才能利用深藏在操作系统中的其他缺陷。向苹果报告缺陷后，该缺陷将得到修正，会影响到他们的研究工作。

去年受邀参加一次有奖捉虫会议的安全研究人员，要求苹果提供专用iPhone，或“开发者设备”——与公开发售的型号相比它们受到的限制较少。这样的设备使研究人员在报告发现的安全缺陷的同时，能继续对iOS的研究。苹果拒绝向研究人员提供这类设备。