2020年10月17日 星期六

青年黑客團獲蘋果賞225萬 揭55保安漏洞 直取源代碼

 By on October 13, 2020

原文刊於信報財經新聞「StartupBeat創科鬥室

根據蘋果的Apple Security Bounty計劃,最高賞金可達100萬美元(約780萬港元)。(路透資料圖片)

根據蘋果的Apple Security Bounty計劃,最高賞金可達100萬美元(約780萬港元)。(路透資料圖片)

大型科技公司一直都有「賞金獵人」計劃,旨在吸引安全研究人員主動滙報已知漏洞,及早堵塞。一名20歲青年率領黑客團隊,今年7月起攻擊蘋果公司(Apple Inc.)系統漏洞,截至本月初已發現並報告了55項漏洞,獲得蘋果公司發放28.85萬美元(約225萬港元)賞金。

專門研究網站安全的青年Sam Curry在網誌提到,他於7月瀏覽Twitter時注意到一篇文章,文中指一位研究人員因發現繞過身份驗證漏洞,獲得蘋果公司10萬美元獎勵。他決定碰碰運氣,聯絡之前合作過的4位黑客,問對方是否願意一齊努力向蘋果公司施以攻擊,且看能找到什麼漏洞。

數小時內即作修補

各人最終花了數百小時,成功發現了蘋果公司的55項保安漏洞;其中11項更屬於嚴重漏洞,黑客可繞過授權和身份驗證遠程執行代碼,藉此控制蘋果公司的核心基礎架構,從中竊取私人電郵、iCloud數據及其他敏感訊息,甚至可檢索內部源代碼。

根據蘋果公司的Apple Security Bounty(蘋果漏洞獎賞)計劃,其系統漏洞的最高賞金可達100萬美元(約780萬港元)【表】。

根據蘋果公司的漏洞獎賞計劃,最高賞金可達一百萬美元。(網上圖片)

根據蘋果公司的漏洞獎賞計劃,最高賞金可達一百萬美元。(網上圖片)

當Curry向蘋果公司滙報有關漏洞後,公司對報告反應非常迅速,短短數小時內已修補了不少漏洞。蘋果公司更承諾按照賞金計劃,向團隊給予32筆付款,總計28.85萬美元。

科技媒體Ars Technica報道,年僅20歲的Curry坦言,收到蘋果公司的回覆電郵後非常震驚,他們小組的每個人至今仍然有些惶恐,因從未曾獲得如此豐厚的報酬。接下來的幾個月,當蘋果公司處理了剩下的安全項目,他們更有望獲得超過50萬美元(約390萬港元)獎金。

另一方面,社交平台Facebook(fb)上周五(9日)針對其漏洞賞金平台,推出首個忠誠度計劃Hacker Plus,按照漏洞獵人往績給予等級(聯盟)資格,排名分為鑽石、鉑金、金、銀及青銅共5個等級。除獲得額外獎金及徽章,鑽石及鉑金等級成員還可免費參加年度活動(例如黑客大會DEFCON)。

fb新工具助找程式錯誤

此外,fb推出了一個全新的漏洞發現工具FBDL(Facebook Bug Description Language),讓漏洞獵人提交的報告時,能夠更輕鬆地重現有關錯誤。fb更會為採用FBDL工具的報告提供額外獎金,金額為基本獎金的5%(上限500美元)。

大型科技公司一直都有「賞金獵人」計劃,旨在吸引安全研究人員主動滙報已知漏洞。(中新社資料圖片)

大型科技公司一直都有「賞金獵人」計劃,旨在吸引安全研究人員主動滙報已知漏洞。(中新社資料圖片)

1 則留言:

Robert McCain 提到...
網誌管理員已經移除這則留言。