Google資安團隊駭客列出整排iOS漏洞喊話 - 手機討論

https://is.gd/ohgxcx

蘋果 2016 年推出「Bug Bounty」懸賞計畫：抓到漏洞有賞金，或賞金加倍後捐出去

蘋果為維護 iOS 品質，曾於 2016 年推出漏洞懸賞計畫「Bug Bounty」，邀請各方資安人
員合力找出系統漏洞，並依類別發放獎金，額度最高的項目可達 20 萬美元，超過 600 萬
新台幣，如果選擇捐出去的話則加倍。

身為 Google 資安團隊 Project Zero 成員的 Ian Beer，同時也是世界最頂尖的駭客之一
；該團隊平時的任務，便是找出各個軟體的漏洞與後門，而蘋果的作業系統，自然也在他們
的研究範圍內。

該團隊在找出軟體漏洞後，會通知廠商進行修正，接著無論對方是否進行處理，都會在 90
天後公開，迫使公司行動。

Google 頂尖駭客秀出抓漏紀錄：我也想領賞！

Ian Beer 近日在推特上，張貼出多年來找出的 iOS 漏洞列表，並依據蘋果抓漏計畫的價碼
標出賞金，總計高達 245 萬美元，相當於 7,500 萬新台幣，並希望蘋果能替他將這些賞金
捐給國際特赦組織。

該列表甚至包括今年夏天，他稍早前才提交給蘋果的兩個漏洞。

不過，根據《Business Insider》報導，Ian Beer 的身份，實際上並不符合領取賞金的資
格；首先，Bug Bounty 主要面向獨立研究人員，希望透過獎金使他們願意回報漏洞，而非
販賣給他人或者用於違法用途，但這點上，Ian Beer 本身就是 Google 員工。

其次，Bug Bounty 為邀請制，只有受邀的研究人員，才有參與該計畫的資格，也因此，Ian
Beer 才會在文中提到「能否將我邀請進計畫」；若不在計畫內，無論發現多麼重大的 iOS
漏洞，也無法透過這項機制領獎金。

對獎勵計畫頗有微詞，Google 駭客：蘋果只是利用計畫做宣傳

Ian Beer 當然不會不知道這點，他發文的真正意圖為何，目前也尚未分曉；但《Business
Insider》指出，Ian Beer 對蘋果的 Bug Bounty 計畫頗有微詞，表示「雖然我不認為蘋果
將漏洞懸賞計畫視為宣傳工具，但該計畫實際上替他們做了不少宣傳，高額獎金常被人提起
。」並將之比喻成「用一張舒適的毯子包裹自己。」

另外，目前蘋果沒有對這則貼文做出回應。

ios號稱世界上最穩定最安全的作業系統，每年都被越獄不說，還被挖出這麼多漏洞，Ios11
更是問題一堆，反觀Google真佛心公司，還幫對手找漏洞，真是高下立判。

--