僅10天修複3個零日漏洞 蘋果是真的拼了命

《名利場》最近刊文介紹了零日漏洞及其背後的黑市交易（主要賣給政府）、介紹這些漏洞如何被用于進行間諜活動，以及這整個“行業”是如何形成的。其實說到零日漏洞，相信大部分 ios 裝置使用者應該都不陌生，因為就早今年 8 月份曾有智能手機安全公司披露，蘋果的 ios 作業系統存在 3 個安全漏洞，均屬于“零日漏洞”，會被一種複雜的間諜軟體利用對特定蘋果手機使用者發動持續攻擊。

蘋果 ios 作業系統的 3 個關鍵安全漏洞被命名為“三叉戟”，它們屬于“零日漏洞”，即被黑客發現後立即被惡意利用的安全漏洞。“三叉戟”被一個名為“飛馬”的間諜軟體利用，所形成的攻擊鍊可以突破蘋果 ios 作業系統強大的安全防護。不過後來蘋果公司很快就修複了這幾個漏洞。

恰好在《名利場》的這篇長文中也談到了蘋果公司僅用 10 天時間就修複了 ios 系統 3 個零日漏洞的事情。有興趣的使用者可以了解一下。

“2010 年真正屬于零日漏洞的黑市開始出現了。而它發展的轉折點是在法國一家名為 vugen 的公司開始給發現零日漏洞的人提供獎勵之後，據稱這家公司的獎勵最高為 25 萬美元。vugen 堅稱他們的目的是保證軟體的安全，即使外界一直質疑，他們的目的是否真的是這麼高尚。後來惠普和微軟等公司也應聲而動，也公布了他們的零日漏洞獎勵機制。雖然這些科技公司的獎勵都沒有 vugen 等公司的高，但至少能讓白帽黑客不至于昧着自己的良心去賺錢。而且作為一名曾經的黑客，他們最後可能還會獲得價格不菲的顧問合同。”

“當初在 ios 系統中發現漏洞時，研究小組中有的人覺得應該馬上通知蘋果，而也有人覺得再等等，等他們研究了解全部相關的東西之後再通知。但是 iphone使用者承擔的風險實在太大了，是以他們最終決定給蘋果電話，而蘋果方面給他們的回應則讓他們有點哭笑不得。研究小組告訴蘋果他們可以遠端越獄，然後對方回答大概就是，‘是是是，我們之前也見過這種情況——把你們手頭的東西都發給我們吧。’研究小組照做了，幾個小時之後蘋果回電了，然後非常嚴肅地說：‘好的，把你們手頭所有的東西都發過來吧。’”

“這通電話之後，蘋果公司竟然在 10 天之内就修複了 3 個零日漏洞，很多與這件事相關的人都覺得這堪稱工程壯舉。蘋果方面發言人拒絕就此發表評論，但是矽谷一名與蘋果合作密切的安全顧問表示，‘蘋果以前也沒有見過這樣的漏洞——從未見過。這是一種非常成熟的國家級的攻擊，從範圍上來說它時驚人的。可以說蘋果能在這麼短的時間内修複了這些漏洞，他們是付出了巨大的努力。這些漏洞要是不能早日修複，勢必招緻重大的麻煩。’”

“這些網絡武器分銷商所做的事情就是讓數字監控民主化。曾經隻有大型政府部門才會使用這些監控工具，可是如今隻要有錢，誰都能用。說不定哪天它們就會出現在你的 iphone 上。”

本文轉自d1net（轉載）