高手在民間

相比谷歌、微軟等科技巨頭，蘋果這個計劃到來的時間有點晚，但是遲到總比不到好。這麼多年來，無論行業有多少人提出蘋果公司應該提供漏洞獎勵計劃，而蘋果都無動於衷。如今蘋果推出漏洞計劃，這多少讓人感到有點意外，但也是意料之中的事情。iOS 和 macOS 生態系統近年逐步完善，受到的關注越來越多，蘋果也一直在強調用戶隱私和數據安全，所以遲早還是得選擇這一條路。

今年年初，因為調查犯罪事件需要，FBI 要求蘋果公司協助破解 iPhone 5c，但蘋果方面明確拒絕了 FBI 的要求，表示自己有心也無力，因為蘋果對系統和安全機制的設計就是蘋果自己也破不了。雙方為此還鬧上了法庭，在科技行業也引起了巨大關注，還有不少科技巨頭髮聲表示支持蘋果。

就在雙方僵持不下之時，FBI 突然宣布他們已經繞過蘋果藉助神秘的第三方組織破解了 iPhone 5c。FBI 破解了 iPhone 漏洞之後表示但並不計劃告知蘋果細節，而且未來幾年可能會繼續利用這個漏洞。現在我們不知道蘋果是否已經發現並封堵了這個漏洞。

不過這次 FBI 事件應該是讓蘋果明白了，高手在民間，只是這些民間高手不是雷鋒，有時候並不願意免費為蘋果服務，所以即使這些高手在蘋果 iPhone 中發現了漏洞，他們也不願意透露給蘋果。

正所謂重金之下必有勇夫，蘋果的重金一出，民間高手可能會紛紛亮劍，拼了命地去尋找漏洞。而且這種集思廣益，吸取大眾智慧的做法能讓產品變得更安全。一直以來，一些有操守的白帽子在發現漏洞之後會將其提交給蘋果官方。有時候蘋果會回函向提供漏洞者致謝，也很快在更新中修補了漏洞，而且會在修復漏洞的說明頁面感謝漏洞提供者。有時候一些嚴重的漏洞不是蘋果自己發現的，多虧了這些願意免費告知蘋果的黑客（雖然不知道私底下蘋果有沒有獎勵）。

蘋果和國內的盤古越獄團隊就是這種相愛相殺的關係。2014 年盤古發布 iOS 8.x 系列完美越獄之後，蘋果就以 iOS 8.1.1 閃電般的速度掐死了盤古越獄之路。蘋果特意在官方支持頁面上介紹了 iOS 8.1.1 修復的安全漏洞，尤其是公開確認了盤古越獄所用漏洞已經修復，還特別感謝了盤古團隊的「發現」。

今年早些時候盤古的 iOS 9.x 系列完美越獄發布之後，蘋果也很快以 iOS 9.3.4 修復問題，並指出是盤古團隊向蘋果披露了這個重要的安全漏洞。

然而，更多的情況比這還糟：漏洞報告石沉大海，蘋果不置可否，也並未及時修復。有些人認為蘋果這樣的做法是對他們的侮辱，如今蘋果終於正視了這些高手的努力和付出，也算是皆大歡喜吧。

支付服務的安全性必須保障

Apple Pay 是蘋果公司的在線支付服務，一直以來在這項服務的宣傳中蘋果公司都主推它的安全特性。Apple Pay 通過應用業界領先的 Token (支付標記) 安全技術，保障用戶的支付信息。安全性是 Apple Pay 的核心所在，添加信用卡或借記卡時，實際的卡號既不存儲在設備上，也不存儲在蘋果的伺服器上。系統會分配一個唯一的設備帳號 (Device Account Number)，對該帳號進行加密，並以安全的方式將其存儲在設備的安全晶片 (Secure Element) 中。每次交易都使用一次性的唯一動態安全碼進行授權。

此前澳大利亞銀行曾經控訴蘋果 Apple Pay 壟斷市場，要求蘋果開放 NFC，蘋果就曾經對此做出回應，表示不可能開放 NFC，因為這會影響到設備和服務的安全。也就是說，雖然蘋果對 Apple Pay 的安全系統有著嚴格的控制，但是他們也無法保證會不會有一些人想通過其他方法去攻擊他們的這項服務。

對於蘋果來說 Apple Pay 的安全馬虎不得，需要想盡一切辦法將潛在的威脅都消滅掉。因為 Apple Pay 本身覆蓋面非常廣，任何一個環節出現紕漏都有可能導致服務出現更大面積的癱瘓等問題，對 Apple Pay 生態系統中的任何一名用戶來說都是巨大的威脅。而且 Apple Pay 這項服務可以說和用戶切身利益相關，如果因為系統漏洞導致 Apple Pay 安全受到影響，以致於用戶利益受損。

蘋果想讓 Apple Pay 繼續健康發展下去，那還是得在安全上下功夫，不僅是平台自己的安全，還包括支持它的平台的安全。

進軍健康行業 保障敏感數據安全是必須

2014 年蘋果推出了 HealthKit 移動醫療應用平台之後，很快美國聯邦貿易委員會(FTC)就表態，健康類移動應用搜集的大部分數據忽悠高度敏感性，他們蘋果蘋果能夠保證這類數據的共享、交換和保護情況。

對此蘋果聘請了一個外部專家團隊，就健康隱私保護問題作出回應，其中包括健康數據保護律師 Marcy Wilder。另外，蘋果還考慮指定一名內部健康隱私保護負責人。蘋果表示，該公司已經向包括 FTC 在內的各國監管機構描述了該公司產品的數據保護機制，監管機構則表示支持。

最近有消息表示，蘋果公司將會推出一款健康設備，蘋果在健康行業的野心是真的不小，既然如此實力必須配得上自己的野心，這個實力就包括保護敏感數據的安全。這也是他們可以在這個市場發展下去的基礎。

避免漏洞被用於不法交易

現實正如科幻電影里所言，如果你找到的漏洞碉堡了，會有諸多灰色組織向你伸出橄欖枝。此前曾被曝光的義大利著名網絡軍火商「Hacking Team」的內部數據中，存在大量極其危險的 iOS 0Day 漏洞，而這麼多漏洞幾乎全部是該組織在「漏洞市場"中「買」來的。

根據泄露的數據，一個普通的漏洞交易價格大約在 3.5-4.5 萬美元之間，如果獨家銷售給 Hacking Team，價格至少會翻三倍。而行業人士指出一個有價值的iOS漏洞交易價格可能在幾十萬美金。

行業內也一直傳言美國越獄大神「樹人」也在將漏洞銷售給經營黑色產業的公司。銷售漏洞這種行為遊走在法律的邊緣，但是卻因為豐厚的收益引發眾多黑客鋌而走險。

包括微軟、谷歌在內的科技巨頭都會提供數萬美元的「漏洞賞金」計劃，鼓勵黑客把自家的漏洞提供給自己。為的就是避免一些發現漏洞的黑客為了利益在網絡黑市裡銷售這個漏洞。因為買家購買了這些漏洞之後會如何利用這些漏洞就沒人知道，如果只是進行研究那還沒有什麼需要擔心的大問題，但如果是不懷好意的人利用這些漏洞去攻擊用戶設備，**用戶數據信息，或者是做影響用戶安全利益的事情的話，那無論是蘋果還會任何一家公司，這都是無法承受的代價。

不管終端如何改變，只要人們還處於信息時代，面對多樣的信息安全危機，從數據本源出發，通過各種方式進行防護總是最穩妥的做法。蘋果公司推出漏洞獎勵計劃，利用來自大眾的智慧去保護大眾的數據和隱私安全，多一份安全，多一份安心。

文章來源: https://www.twgreatdaily.com/cat86/node1236058

轉載請註明來源：今天頭條