导语:这事儿吧,得从两边儿看——一边是想安心修漏洞的研究员,一边是”解决不了漏洞就解决发现漏洞的人”的科技巨头。2019年的这出好戏,最近被波兰老哥Niebezpiecznik翻出来,直接让苹果的漏洞赏金计划再次沦为安全圈的笑柄。
一、事情是这样的
话说2019年那会儿,有位网名叫@midwestneil的安全研究员,在苹果系统里发现了一个FaceTime零日漏洞——这漏洞跟视频通话的鉴权机制有关,理论上可以让陌生人悄悄潜进你的FaceTime会议。
按道理,发现这种级别的漏洞,白帽黑客们都会走正规渠道:写报告、提交漏洞赏金计划、等着厂商修复拿赏金。
但问题就出在”正规渠道”这四个字上。
二、苹果:我已读,你随意
这位研究员辛辛苦苦写了份详细报告,提交给苹果的安全响应团队。结果你猜怎么着?
石沉大海。
苹果安全团队的回复态度,用安全圈的话说就是——”Ignored”(已读不回/无视)。
在漏洞赏金这个圈子里,苹果的”静默修复”和”白嫖报告”早就臭名昭著了。什么叫静默修复呢?就是厂商看完你的报告,悄悄把漏洞补了,然后——没有赏金、没有感谢、甚至连个回复都没有。你以为你是在帮苹果修bug,苹果觉得你只是在做免费测试。
这位研究员遇到的,大概也是类似情况:报告交上去,对方态度冷淡,要么觉得漏洞不够严重,要么干脆就是流程混乱没处理。
但这位老哥可不是省油的灯。
三、硬核PoC:我就静静地看着你们开会
被无视的研究员决定用黑客的方式证明自己。
他的逻辑很简单:你们不是觉得这漏洞没多大危害吗?那我现在就表演一下——利用这个漏洞,直接”挂载”进苹果内部正在召开的FaceTime视频会议。
这场会议在干嘛呢?巧了,正好是苹果安全团队的员工在闭门讨论评估研究员们提交的漏洞报告。
他就这么悄无声息地溜进去了,没喊没叫没搞破坏,只是安安静静地看着这群正在评估漏洞的苹果员工。
然后,他截了一张图。
截完图,这位老哥把截图作为二次PoC(概念验证),附在漏洞报告里重新提交给了苹果。
截图的潜台词翻译过来就是:
“你们说这漏洞没用?不好意思,我现在正看着你们开会呢。”
四、苹果反应:法务的信比补丁先到
按理说,这种级别的”现场演示”,足够证明漏洞的严重性了吧?厂商应该立刻修复、再给研究者发个大奖状才对。
但苹果的脑回路咱普通人确实跟不上。
收到这份附带自家员工开会照的漏洞报告后,苹果安全团队的反应是——
派法务来收拾你。
一封来自苹果法务团队的律师警告函(Lawyer Letter)直接怼到了研究员脸上,指控他非法入侵、侵犯隐私,威胁要起诉他。
这波操作直接把安全圈看傻了:明明是你们自己安全团队开会讨论漏洞被人顺手”旁听”了,怎么到头来变成研究员的错了?
业内评论纷纷吐槽:苹果这是“解决不了漏洞,就解决发现漏洞的人”的经典傲慢做派。
五、2019年的事儿,为什么现在才曝光?
这里有个时间差:
事件发生在2019年,但因为苹果发了那封法务警告函,出于法律风险和保密协议的考量,当事人一直守口如瓶。
直到2026年5月底,这位研究员终于决定把当年的奇葩经历完整曝光。波兰知名网络安全媒体Niebezpiecznik率先转发,随后被Digg等欧美科技媒体跟进报道,直接引爆了安全圈的舆论。
六、苹果漏洞赏金计划:账面豪横,落地拉胯
这事儿之所以在圈内引发这么大反响,是因为它戳中了苹果漏洞赏金计划长期存在的积弊。
苹果官方页面写得漂漂亮亮:最高100万美元的悬赏金额,听着是不是很诱人?
但实际对接过的白帽黑客们都知道,这里面的流程之混乱、反馈之缓慢、赏金发放之随意,简直是个谜。
安全圈关于苹果”白嫖报告”的吐槽一搜一大把:
- 报告交上去,几个月没回复,等来的是悄悄发布的系统更新
- 漏洞修复了,但赏金?什么赏金?
- 还有研究者因为披露细节过快,直接被厂商发律师函
Reddit和各路安全博客上,”Apple Bug Bounty就是笑话”的帖子层出不穷。
这次@midwestneil的遭遇,不过是冰山一角。但它足够典型、足够戏剧性,足够让围观群众再次感叹:大厂的漏洞赏金计划,到底是在激励安全研究,还是在羞辱白帽黑客?
七、结语:傲慢的代价
这件事给苹果带来的负面影响,远不止一张开会截图那么简单。
白帽黑客文化里有个不成文的规矩:用技术说话。当正规渠道走不通,研究员们完全有能力把零日漏洞卖向黑产,或者来个”0-day full disclosure”——不给你补丁时间,直接公开所有细节。
苹果如果继续对好意的提醒派出法务,迟早会把更多研究者推向对立面。
到时候,”解决不了漏洞”可能就真的要变成”彻底解决不了漏洞”了。
图片版权 华盟网
暂无评论内容