今年初,美国政府请黑客帮忙破解了一部由恐怖分子使用的iPhone智能手机,为此,美国政府给黑客支付了高昂的费用。
最近的一份可靠报告显示,美国政府给黑客支付的报酬“在100万美元以下”,然而,美国联邦调查局(FBI)局长詹姆斯·科米(James Comey)却表示,美国政府实际给黑客支付的报酬至少有130万美元。
对于黑市上破解iPhone需要如此高昂费用这一问题,如今我们不妨听听苹果公司的一位高级安全工程师是如何看待的。
苹果安全工程及架构业务负责人伊凡·克尔斯蒂克(Ivan Krstic)上周在有关“苹果如何将安全视为最重要设计理念之一”这个主题的苹果公司年度大会上发表演讲时阐述了iPhone漏洞(安全业内人士称之为“零日漏洞”)在二级市场上的状况。
克尔斯蒂克解释称,很难通过客观数据来衡量安全表现,因此他只能使用“间接数据”来评估苹果安全团队的表现。其中的一些数据就是黑市上破解iPhone的价格。
事实表明,苹果公司喜欢这样的实际状况——黑市上破解iPhone的价格越高越好,因为这将意味着破解iPhone漏洞非常困难,而且往往很难实现。
克尔斯蒂克表示,“或许你们当中多数人都知道,有一个专门针对软件漏洞的黑市,曾几何时,黑市上的价格也为众人所知。一般而言,这些价格动辄上万美元,有时甚至会高达10万美元。”
那些一般是指诸如微软Windows或谷歌Android等软件的价格,但是,破解iPhone漏洞的黑市价格则要高昂得多。
克尔斯蒂克援引了两篇报道:其一,2013年,《纽约时报》曾报道称,黑市上破解iPhone的价格为50万美元;其二,最近,《福布斯》报道称,黑市上破解iOS的现行价格已经高达100万美元。
克尔斯蒂克还表示,“这些报道的真实性可能令人怀疑,但至少可以说明,这些数据还是值得人关注的。你们如今看到的情况,是我们10多年来一直在努力保护用户的结果。”
克尔斯蒂克在讲话中还强调指出,要想发现苹果软件的漏洞其实很难,其中一大原因就是苹果一直在努力“提升安全保护措施”,加强对产品中芯片和软件的保护。
去年4月,苹果宣称,该公司拥有“全球最有效的安全组织”。与此同时,克尔斯蒂克在演讲中也宣称,在过去的九年中,iPhone一直没有碰到比较有规模的病毒或恶意软件问题。
要想遏制软件漏洞黑市的蔓延,其中的一个方法就是实施“错误赏金”计划。这样,当黑客发现漏洞时,他们就不必要将此漏洞卖给恶意黑客或FBI,而是直接将这些漏洞卖给出售所属产品的公司。
目前,微软、Facebook和谷歌等都有自己的“错误赏金”计划,但苹果还没有。
苹果之所以还没有“错误赏金”计划的一大原因可能就是该公司自认为有着较高的影响力,他们在处理潜在的漏洞方面有着各种成熟或欠成熟的技巧。当有人发现漏洞时,苹果会公开给他们提供奖赏。
对此,苹果方面一直拒绝置评。
