蘋果于去年底在官網(wǎng)上發(fā)布了最新的漏洞懸賞給付計劃,據(jù)外媒報道,蘋果近日已向一名駭客支付了7.5萬美元獎勵,因該名駭客于Safari中發(fā)現(xiàn)了多個零時差漏洞(zero-day vulnerability,又稱作零日漏洞),其中一些漏洞可用于劫持iOS或macOS設(shè)備上的相機。
據(jù)《富比士》報道,Ryan Pickren于去年12月向蘋果披露了其從Safari中發(fā)現(xiàn)的7個零時差漏洞,其中3個漏洞使其可透過誘騙用戶開啟惡意網(wǎng)站的方式來劫持用戶iPhone的相機,同樣的方法也適用于Mac上的網(wǎng)路攝影機。透過蘋果的賞金計劃,Ryan Pickren獲得了由蘋果支付的7.5萬美元賞金,而蘋果已于今年1月修復其中最嚴重的漏洞,其余則在上個月修復。
Ryan Pickren指出,這樣的漏洞說明了為什么用戶永遠都不應該完全相信自己的相機是安全的,「無論是誰家制造的產(chǎn)品或運行著什么作業(yè)系統(tǒng)?!?/p>
安全研究員Sean Wright表示,盡管用戶現(xiàn)在已會時時關(guān)注PC及筆電上的網(wǎng)路攝影機,但「很少有人會注意到手機上的相機及麥克風?!苟@正是攻擊者最有可能竊聽被害人的途徑之一。他說:「大多數(shù)人時時刻刻拿著手機,尤其在討論敏感問題時,」盡管需要用戶前往惡意網(wǎng)站確實增加了攻擊的復雜性,但「這無疑是一種非常可行的攻擊形式?!?/p>
蘋果于去年8月在黑帽大會(Black Hat)上承諾擴大漏洞賞金計劃范圍,最終在同年12月上架最新的漏洞懸賞計劃。此前,蘋果的漏洞賞金計劃僅限于iOS的漏洞,并采邀請制,限制可參與計劃的人員。
新的懸賞計劃將范圍擴大至iPadOS、macOS、tvOS、watchOS及iCloud,獎金上限則從原先的20萬美元增加至100萬美元,如若研究人員在beta版中發(fā)現(xiàn)漏洞,將可再額外獲得50%的獎金,這意味著,提交報告的駭客或資安人員、團隊最高可獲得150萬美元的獎金。