據外媒報道,一名iOS工程師表示,他覺得自己被蘋果的安全賞金(Security Bounty)項目“搶劫”了,因為他認為一個漏洞符合蘋果的指導方針,但他沒有收到付款。當地時間周一,瑞士聯邦鐵路公司(Swiss Federal Railways)的iOS工程師Nicolas Brunner在Medium上發表了一篇講述自己參與這項獎勵計劃經歷的文章。
據Brunner介紹稱,早在2020年3月,他就在iOS 13中發現了一個可利用的漏洞。
該漏洞將允許應用在未經用戶同意的情況下永久收集用戶的位置數據。Brunner表示,他是在開發一個iOS項目時發現這個漏洞的。
Brunner寫道:“這對我來說似乎是一個關鍵問題–尤其是在蘋果過去幾年對隱私的關注下。”
Brunner編寫了一個演示應用並把它提交給了蘋果的賞金項目。這個漏洞實際上在iOS 14中得到了修復,蘋果在其安全發布說明中稱讚了Brunner。儘管如此,Brunner稱其並未因為這個漏洞得到任何報酬。
雖然Brunner跟蘋果的安全團隊溝通了8個多月,但蘋果最終沒有支付任何費用。此外,據稱蘋果在該公司發出的上一封電子郵件中說,這個問題沒有資格獲得安全獎勵,因為它沒有顯示出該程序的指導方針列出的任何類別。
對此,Brunner持不同意這種看法,他指出,蘋果將訪問“精確位置數據”的權限列為值得獎勵的漏洞,而這些數據通常會受到提示的保護。
“坦白地說,現在,我覺得自己被搶劫了,。但我仍然希望,這個安全項目對雙方來說是一個雙贏的局面,”Brunner寫道。
長期以來,蘋果一直有針對特定操作系統的漏洞獎勵程序,但在一段時間內,該程序只能接受邀請。2019年,該公司向所有開發人員和安全研究人員開放並將其範圍擴大到所有操作系統。
這家位於庫比蒂諾的科技巨頭過去曾為備受矚目的漏洞支付過獎金,其中包括向找到一個Sign in with Apple登錄漏洞的人支付了10萬美元的獎勵。