导语:如果你能够在iOS 密码管理应用 1Password中找到漏洞——一般为零日漏洞,其开发商 Agilebits将会支付你10 万美元的赏金。

如果你能够在iOS 密码管理应用 1Password中找到漏洞——一般为0day漏洞,其开发商 Agilebits将会支付你10 万美元的赏金。

1489376548840381.png

在此之前,这种类型的“漏洞悬赏”项目的赏金通常只有 2.5 万美元。当然,即便是2.5万的奖金在漏洞悬赏项目中也不算低的了,此次,该公司把赏金提高了三倍,足见其重视程度和漏洞的价值(亦或说是漏洞挖掘难度)。

Agilebits似乎是想要通过所有的必要手段来证明其服务的安全性,同时奚落来其系统中寻找漏洞的“赏金猎人”,当然如果他们有能力敢来的话。

巨额奖金的背后 

据了解,Agilebits 此次是通过 Bugcrowd 平台推出了这项“漏洞悬赏”项目。该公司可以很轻易地吸引到人来其系统挖掘漏洞,因为在 Bugcrowd 的历史上,10 万美元目前还是最高额度的赏金。我想Agilebits想通过此举证明的一个观点就是:他们非常重视系统安全性。

当然,应该考虑到的是,1Password是一个密码管理应用,存储着用户所有的登录凭证,如果存在任何安全漏洞,就意味着会对所有用户造成极为严重的安全问题。

AgileBits公司发言人Jeff Shiner表示,

我们的职责就是尽一切可能保障用户及其信息的安全性。也就是说,我们需要通过最聪明人的技术帮助我们不断完善1Password服务的安全性。对于我们来说,能够证明我们是多么重视这一项目是非常重要的,为此我们还已经大幅提升了奖金额度。

如何进行漏洞挖掘呢?该漏洞悬赏项目指定了一个特定的账号,白帽子黑客必须去入侵它并挖掘出符合要求的漏洞,提交漏洞报告并以此获得奖金。当然,大多数用户不会像这个特定账户一样遭到攻击者攻击,但是这对服务自身而言是一个很好的测试行为。随着密码管理器的日益流行,1Password想要证明其服务是安全可靠的。

其他iOS 系统漏洞悬赏项目 

过去两年间,关于iOS 系统漏洞的消息层出不穷,大家都能明显得到一个结论:iOS 系统不再那么“安全”了!而为了提升iOS 系统的安全性和用户体验,许多企业纷纷展开行动,推出自己的“漏洞悬赏”项目。

2015年9月,以收购/销售产品安全漏洞的Zerodium公司就发起了iOS9系统漏洞赏金活动,设置超过300万美元的奖金来悬赏那些在iOS9系统中找到漏洞的黑客。最终,一名黑客由于发现了一个iOS 9系统的0day漏洞——远程越狱iOS 9系统设备,在Zerodium举办的这场漏洞赏金比赛中赢得了高达100万美元的奖金。

 屏幕快照 2017-03-13 上午11.31.21.png

2016年9月,iOS 10一发布,Zerodium又再次提高了报价,称愿意支付150万美元来购买具有同样功能的0day漏洞,只是这个越狱漏洞针对的是iOS 10系统。Chaouki Bekrar表示,

我们提高报价的原因在于iOS 10和Android 7系统的安全性能都有所提高,只有高额奖金才能吸引到更多研究人员来攻克这个难题。

此外,科技巨头苹果也在不久之前推出过自己的赏金项目,该公司表示如果有人可以在 iOS 系统中找到零日漏洞,将会获得 20 万美元的巨额奖金。

“赏金猎人”的春天来了,看中哪项活动了抓紧行动起来吧~~~

源链接

Hacking more

...