开发人员称苹果的安全赏金项目从未向他支付奖金

cnBeta 2021-07-14 07:13 原文链接:点击获取

原标题:开发人员称苹果的安全赏金项目从未向他支付奖金 来源:cnBeta.COM

据外媒报道,一名iOS工程师表示,他觉得自己被苹果的安全赏金(Security Bounty)项目“抢劫”了,因为他认为一个漏洞符合苹果的指导方针,但他没有收到付款。当地时间周一,瑞士联邦铁路公司(Swiss Federal Railways)的iOS工程师Nicolas Brunner在Medium上发表了一篇讲述自己参与这项奖励计划经历的文章。

据Brunner介绍称,早在2020年3月,他就在iOS 13中发现了一个可利用的漏洞。

该漏洞将允许应用在未经用户同意的情况下永久收集用户的位置数据。Brunner表示,他是在开发一个iOS项目时发现这个漏洞的。

Brunner写道:“这对我来说似乎是一个关键问题--尤其是在苹果过去几年对隐私的关注下。”

Brunner编写了一个演示应用并把它提交给了苹果的赏金项目。这个漏洞实际上在iOS 14中得到了修复,苹果在其安全发布说明中称赞了Brunner。尽管如此,Brunner称其并未因为这个漏洞得到任何报酬。

虽然Brunner跟苹果的安全团队沟通了8个多月,但苹果最终没有支付任何费用。此外,据称苹果在该公司发出的上一封电子邮件中说,这个问题没有资格获得安全奖励,因为它没有显示出该程序的指导方针列出的任何类别。

对此,Brunner持不同意这种看法,他指出,苹果将访问“精确位置数据”的权限列为值得奖励的漏洞,而这些数据通常会受到提示的保护。

“坦白地说,现在,我觉得自己被抢劫了,。但我仍然希望,这个安全项目对双方来说是一个双赢的局面,”Brunner写道。

长期以来,苹果一直有针对特定操作系统的漏洞奖励程序,但在一段时间内,该程序只能接受邀请。2019年,该公司向所有开发人员和安全研究人员开放并将其范围扩大到所有操作系统。

这家位于库比蒂诺的科技巨头过去曾为备受瞩目的漏洞支付过奖金,其中包括向找到一个Sign in with Apple登录漏洞的人支付了10万美元的奖励。