苹果漏洞赏金提高至100万美元 黑市上漏洞售价高达500 万美元

• 2019年8月9日 HuangJiang来源：互联网
• 繁体

• 

  在机遇与挑战中把握压塑模行业趋势，才能从中取势得到更好的发展！

  压塑模，即塑料压塑模具，包括压缩成型和压注成型两种结构模具类型。它们是主要用来成型热固性塑料的一类模具，其所对应的设备是压力成型机。压缩成型方法根据塑料特性，将模具加热至成型温度（...

Google Project Zero 所发现的其中 5 个漏洞都属于 iMessage 漏洞。

8月9日，此前苹果又一次性关闭了 iOS 12.3、12.3.1、12.3.2 三个系统的验证通道，只允许用户升级到 iOS 12.4 上。因为其中6 个重大漏洞被谷歌安全团队指出，该漏洞在黑市上备受关注，其中每个漏洞的售价都在 200 万美元以上，其中最高的一个漏洞售价可能高达 500 万美元，这些漏洞的总价值可能超过 2400 万美元(约合 1.65 亿元人民币)。苹果在2016年的黑帽大会上宣布了漏洞奖励计划，为披露苹果产品漏洞的参与者提供奖金，最高可达到20万美元，现在苹果将漏洞发现的奖金提高到一百万美元。

此前iOS 12.4 除了加入 Apple Card 等新功能外，还修复了多达 36 个系统高危漏洞。其实在新版 iOS 中修复漏洞是比较正常的事，但这一次 iOS 系统中也有来自 Google Project Zero、Tencent KeenLab 等安全团队提交的漏洞。

其中有 6 个重大漏洞全来自 Google Project Zero 团队成员 Natalie Silvanovich 和 Samuel Gro 所提供，分别为 CVE-2019-8624、CVE-2019-8641、CVE-2019-8646、CVE-2019-8647、CVE-2019-8660 和 CVE-2019-8662 安全漏洞。Natalie Silvanovich 也将在下周的黑帽安全大会上分享漏洞的相关细节，并且现场展示在无需用户互动的情况下远程攻击 iPhone。

Google Project Zero 所发现的其中 5 个漏洞都属于 iMessage 漏洞，根据研究人员表示，其中有 4 个漏洞属于「无交互」安全漏洞。只要攻击者向被攻击者发送包含漏洞的 iMessage 信息，只要用户点击就能马上发起攻击，属于非常严重的漏洞。

也正因为其「无交互」的特点，使该漏洞在黑市上备受关注。根据阿联酋安全漏洞研究公司 Crowdfense 的预估，每个漏洞的售价都在 200 万美元以上，其中最高的一个漏洞售价可能高达 500 万美元，这些漏洞的总价值可能超过 2400 万美元(约合 1.65 亿元人民币)。

黑帽安全大会将在美国拉斯维加斯举行。苹果此前仅向受邀的研究人员提供奖励，这些研究人员试图在手机和云备份中发现漏洞。

消息称，苹果将在此次大会上宣布为安全研究人员提供特别版iPhone，进一步便于黑客寻找iPhone弱点。苹果还将宣布Mac漏洞奖励计划，所以找到macOS漏洞的研究者也能获得奖励了。这种特别版iPhone将只会提供给知名黑客，后者参与了苹果仅限邀请的漏洞奖励计划。

100万美元的奖金仅适用于无需手机用户的任何操作即可远程访问iPhone内核的漏洞。苹果之前提供的最高奖金是20万美元。他们会在收到报告后通过软件更新解决问题，避免将其暴露给不法分子。

政府承包商和经纪人针对最有效的黑客技术支付的最高金额已经达到200万美元，他们希望借此从设备获取信息。然而，苹果的最新奖金计划与承包商公布的一些价格处于相同区间。

漏洞是什么？

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在Intel Pentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

 

延伸阅读

推荐阅读

猜您喜欢