為什麼蘋果不能花時間擺脫安全漏洞呢?
蘋果有很多錢。
在大多數情況下,按市值計算,它是世界上最大的公司,而且銀行裡已經有驚人數量的資金。截至今年第一季度末,該公司擁有550億美元的現金,以及1780億美元的長期證券,如果需要的話,這些證券可以變現。由於核心業務已經處於巔峰時期,沒有明顯的地方可以投入這些資金,這就是為什麼蒂姆•庫克(Tim Cook)很容易將資金投入健康追蹤或弗蘭克•海洋專輯等投機性領域的原因。
一個漏洞交易員最近出價100萬美元收購一個類似的漏洞
因此,從外部來看,這家公司在安全方面的開支超支令人驚訝。蘋果最近推出的bug賞金計劃最高限額為20萬美元,只是在黑市上經常用於iOS漏洞攻擊的數百萬美元的一小部分。利用漏洞的交易者為同樣的漏洞付出了更高的代價,儘管蘋果在銀行持有數十億美元的資金。
這些擔憂尤其重要,因為昨天,在野外發現了其中一個漏洞。一家名為NSOGroup的以色列公司的間諜軟體被髮現,目標是阿拉伯聯合大公國一位名叫艾哈邁德曼蘇爾的人權活動家。該間諜軟體能夠遠端越獄一部iPhone,這是以前從未見過的活躍使用的功能。這些漏洞是在昨天的iOS更新中修補的(你真的應該安裝),但它引發了新的問題:iphone對遠端攻擊者的脆弱程度如何。
我們仍然不知道該公司是如何得知這些漏洞的,但他們很有可能在黑市上購買了這些漏洞,最近一位交易員出價100萬美元收購了一個類似的漏洞。
這讓一些批評人士提出了一個顯而易見的問題:蘋果為什麼不支付更多的費用?並不是說公司買不起。
對於行業老手來說,這是一個令人驚訝的問題。幾十年來,人們一直認為攻擊者的花費總是超過防禦者。大多數臭蟲賞金都反映了這一點。谷歌為安卓系統提供的相當於bug的獎金約為蘋果支出的四分之一,最高達到5萬美元。Chrome的支付方式更具攻擊性,任何在Chromebook或Chromebox上以訪客模式植入永續性惡意軟體的方式都將獲得10萬美元的長期獎勵。微軟擁有業內最具攻擊性的漏洞懸賞計劃之一,但去年的獎金仍高達12.5萬美元。
很難說在一個剝削性的市場上,同等的價格會是多少,但幾乎可以肯定的是,它們會更高,這是許多參與企業獎金的人都坦言的事實。關鍵是為做正確的事情提供適度的獎勵,而不是超過黑市。
間諜軟體公司支付最高的美元,以確保一個錯誤保持未修補
更激進的策略-匹配黑市價格-在很大程度上被視為不可行的實際原因。蘋果的業務規模遠大於它將要競購的公司,但它也在尋找更廣泛的業務。像NSOGroup這樣的間諜軟體公司想要一種打入iPhone的方法,但只要能奏效,他們只需要一個。這讓他們支付最高的美元,以確保它保持祕密和未修補“攻擊的代價不僅僅是為漏洞或漏洞付出代價,”Luta Security執行長Katie Moussouris說,她是業界臭蟲懸賞的主要倡導者之一他們正在為針對目標使用該漏洞的排他性和長期性付出代價。”
蘋果的任務要艱巨得多。本週的漏洞一經公佈,蘋果就修補了這些漏洞——但還有很多其他漏洞。雖然間諜軟體公司將購買漏洞攻擊視為多年訪問的一次性支付,但每當出現新的漏洞時,蘋果就必須支付獎金。修補了這個漏洞之後,NSOGroup和無數其他公司將尋找其他方法來對抗iOS安全,每個補丁都會產生更多的漏洞需要修複。去年Android中的Stagefright漏洞引發了許多下游漏洞,要麼是初始攻擊的變體,要麼是部署的補丁中的盲點。昨天的更新最受媒體關註,但這是蘋果今年以來推出的第七個安全更新,每一個新版本都修複了數十個報告中的漏洞,其中許多都是在以前的補丁上構建的。
有比任何一個團隊都能找到更多的錯誤
這並不意味著安全是不可能的-但它意味著你不能單獨拿著賞金去那裡。唯一的長期解決方案是建立一個強大的內部安全團隊,花時間尋找漏洞。因為仍然有比任何一個團隊都能找到更多的bug,所以bug賞金計劃是捕獲其餘bug的最佳方式,但它只是對其他安全工作的補充。
如果蘋果真的把它巨大的現金儲備放在捕捉每一個漏洞的背後,結果可能會給它自己的安全人員帶來意想不到的後果。構建和部署補丁是一項艱巨的工作,每一點都和發現漏洞一樣微妙和有創意。公司需要專門的團隊來完成這項工作——但是iOS漏洞的價格飛漲,為什麼不花幾個月的時間來發現漏洞,把它交給賞金,然後用剩下的時間來處理你的面板呢?”如果蘋果公司或其他防務公司試圖出價高於甚至與攻擊性錯誤的價格相匹配,他們可能會失去解決問題最需要的員工,”穆索裡斯說。
取而代之的是,我們最終在粗略但有利可圖的開發市場和合法但廉價的bug賞金之間形成了一種奇怪的劃分。同樣的研究人員參與了蘋果的臭蟲懸賞計劃,他們可以把同樣的發現賣給一個利用漏洞的經紀人,從而賺更多的錢。但他們沒有,要麼是因為他們相信**不壞的軟體,要麼是因為他們有不能用現金支付的抵押貸款。
或者如果我們真的很幸運,他們可能會相信在靴子上貼臉,確保一個討厭的漏洞不會落入壞人之手。對於所有關於市場和激勵機制的抽象說法,曼蘇爾的案例也提醒我們,要使這一體系恢復正常,有多大風險。很難說,如果曼蘇爾點選了間諜軟體連結,可能會造成多大的損失——多少人被捕,多少真實的人為了支撐一個**和殘暴的國家而遭受的痛苦。希望是,當下一個研究人員發現下一個bug時,這種想法比金錢更重要。
如何偽造指紋闖入**
- 發表於 2021-05-07 07:57
- 閱讀 ( 40 )
- 分類:網際網路
你可能感興趣的文章
為什麼蘋果要在不受支援的裝置上推廣最新的macos?
...力推廣免費的作業系統升級,即使是不能安裝的舊電腦。為什麼? 相關報道:你7歲的Mac電腦不能執行macOS Mojave,所以現在就賣吧 我的同事克雷格今天啟動了他的2008 iMac,因為這就是我們在How to Geek上所做的事情。在檢視Mac應用...
如果我的手機有調頻收音機,為什麼我不能聽收音機?
...**還包含休眠的FM晶片。但是,如果你的**有調頻接收器,為什麼你不能聽收音機呢? AjitPai的請求有一個簡單的問題:正如蘋果所指出的,iPhone7、iPhone8和iPhoneX甚至沒有FM晶片。但iphone6s和更老的iPhone確實如此。為什麼我們不能用...
為什麼蘋果的homekit需要所有新的smarthome硬體?
...非常感興趣,同時也意識到它需要在新硬體上進行投資。為什麼HomeKit需要新的硬體?我們調查時請繼續閱讀。 什麼是家庭用品(homekit)? HomeKit是蘋果進入家庭自動化市場的入口,旨在作為一個控制系統和資料庫,將所有與HomeKi...
為什麼蘋果需要fda在心電圖上簽字而不是血氧監測儀上簽字
在蘋果手錶系列6的釋出過程中,該公司宣佈了最新的元素——血氧監測儀——作為對現有健康功能的補充。 蘋果健康副總裁Sumbul Ahmad Desai說:“Apple Watch已經是一個強大的健康工具,其應用程式可以測量心率和心律...
蘋果的開發者們正在為iOS14的加速釋出而爭論不休
...一位開發者傑西·斯奎爾斯在部落格中說的那樣,“蘋果為什麼表現得像個**?” “我知道這聽起來有多牢騷,但我認為這是我在蘋果事件後感受到的最消極的事情,”黑暗噪音開發商查普曼(Charlie Chapman)在推特上說。“我並...
為什麼蘋果應該給我們定製應用圖示(但可能永遠不會)
iOS14現在有很多iPhone看起來都很不一樣——有的是經典的單色配色方案,有的是從Pinterest一炮打響的粉彩風格,有的看起來像是直接從動物穿越或者模仿Windows Mobile中脫穎而出。 這些變化並不是蘋果公司的一些新的、...
為什麼蘋果收購color在矽谷有意義:收購的奇怪邏輯
... 如果你對**比創始人更感興趣,你可能會想,“等一下,為什麼要為一家即將倒閉的公司的員工支付500萬美元呢?為什麼不等顏色崩潰,然後以市場價格**任何你想要的人呢?“在矽谷之外,我指的是科技行業,可能就是這樣。...
為什麼蘋果新任零售主管是這一職位的合適人選
去年秋天,蘋果宣佈挖走時任奢侈服裝和生活方式品牌巴寶莉(Burberry)執行長的安吉拉•阿倫茨(Angela Ahrendts)接管利潤豐厚的蘋果零售業務,震驚了科技界和時尚界。阿倫茨將在今年春天接手一項強大但令人望而生畏的工作...
蘋果史詩般的安全漏洞背後的危險
...描述為“一段時間以來我們所看到的一家大公司最嚴重的安全漏洞之一”,如果僅僅是因為暴露的使用者數量巨大的話。 “這是一次更有針對性的攻擊。。。相當笨拙的一個。” 幸運的是,這個漏洞本身並不像你想象的...
為什麼蘋果電視總是一個白日夢
實際上,蘋果將與有線電視壟斷公司進行鬥爭,而不是與之合作。昨晚,《華爾街日報》放棄了一年前蘋果放棄4K電視生產計劃的訊息。對於不經意的觀察者來說,這條訊息就像是一枚重磅**,但對於過去五年多關註蘋果傳聞的...
