本文讲的是巨额奖金在向你招手!这款iOS应用悬赏10万美金找漏洞,如果你能够在iOS 密码管理应用 1Password中找到漏洞——一般为0day漏洞,其开发商 Agilebits将会支付你10 万美元的赏金。
在此之前,这种类型的“漏洞悬赏”项目的赏金通常只有 2.5 万美元。当然,即便是2.5万的奖金在漏洞悬赏项目中也不算低的了,此次,该公司把赏金提高了三倍,足见其重视程度和漏洞的价值(亦或说是漏洞挖掘难度)。
Agilebits似乎是想要通过所有的必要手段来证明其服务的安全性,同时奚落来其系统中寻找漏洞的“赏金猎人”,当然如果他们有能力敢来的话。
巨额奖金的背后
据了解,Agilebits 此次是通过 Bugcrowd 平台推出了这项“漏洞悬赏”项目。该公司可以很轻易地吸引到人来其系统挖掘漏洞,因为在 Bugcrowd 的历史上,10 万美元目前还是最高额度的赏金。我想Agilebits想通过此举证明的一个观点就是:他们非常重视系统安全性。
当然,应该考虑到的是,1Password是一个密码管理应用,存储着用户所有的登录凭证,如果存在任何安全漏洞,就意味着会对所有用户造成极为严重的安全问题。
AgileBits公司发言人Jeff Shiner表示,
我们的职责就是尽一切可能保障用户及其信息的安全性。也就是说,我们需要通过最聪明人的技术帮助我们不断完善1Password服务的安全性。对于我们来说,能够证明我们是多么重视这一项目是非常重要的,为此我们还已经大幅提升了奖金额度。
如何进行漏洞挖掘呢?该漏洞悬赏项目指定了一个特定的账号,白帽子黑客必须去入侵它并挖掘出符合要求的漏洞,提交漏洞报告并以此获得奖金。当然,大多数用户不会像这个特定账户一样遭到攻击者攻击,但是这对服务自身而言是一个很好的测试行为。随着密码管理器的日益流行,1Password想要证明其服务是安全可靠的。
其他iOS 系统漏洞悬赏项目
过去两年间,关于iOS 系统漏洞的消息层出不穷,大家都能明显得到一个结论:iOS 系统不再那么“安全”了!而为了提升iOS 系统的安全性和用户体验,许多企业纷纷展开行动,推出自己的“漏洞悬赏”项目。
2015年9月,以收购/销售产品安全漏洞的Zerodium公司就发起了iOS9系统漏洞赏金活动,设置超过300万美元的奖金来悬赏那些在iOS9系统中找到漏洞的黑客。最终,一名黑客由于发现了一个iOS 9系统的0day漏洞——远程越狱iOS 9系统设备,在Zerodium举办的这场漏洞赏金比赛中赢得了高达100万美元的奖金。
2016年9月,iOS 10一发布,Zerodium又再次提高了报价,称愿意支付150万美元来购买具有同样功能的0day漏洞,只是这个越狱漏洞针对的是iOS 10系统。Chaouki Bekrar表示,
我们提高报价的原因在于iOS 10和Android 7系统的安全性能都有所提高,只有高额奖金才能吸引到更多研究人员来攻克这个难题。
此外,科技巨头苹果也在不久之前推出过自己的赏金项目,该公司表示如果有人可以在 iOS 系统中找到零日漏洞,将会获得 20 万美元的巨额奖金。
“赏金猎人”的春天来了,看中哪项活动了抓紧行动起来吧~~~
原文发布时间为:2017年3月13日
本文作者:小二郎
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。