苹果终于咬牙狠心把钱用在刀刃上了

相比谷歌、微软等科技巨头，苹果这个计划到来的时间有点晚，但是迟到总比不到好。这么多年来，无论行业有多少人提出苹果公司应该提供漏洞奖励计划，而苹果都无动于衷。如今苹果推出漏洞计划，这多少让人感到有点意外，但也是意料之中的事情。iOS 和 macOS 生态系统近年逐步完善，受到的关注越来越多，苹果也一直在强调用户隐私和数据安全，所以迟早还是得选择这一条路。

今年年初，因为调查犯罪事件需要，FBI 要求苹果公司协助破解 iPhone 5c，但苹果方面明确拒绝了 FBI 的要求，表示自己有心无力，因为苹果对系统和安全机制的设计即使苹果自己也破不了。双方为此还闹上了法庭，在科技行业也引起了巨大关注，还有不少科技巨头发声表示支持苹果。

就在双方僵持不下之时，FBI 突然宣布他们已经绕过苹果借助神秘的第三方组织破解了 iPhone 5c。FBI 破解了 iPhone 漏洞之后表示并不计划告知苹果细节，而且未来几年可能会继续利用这个漏洞。现在我们不知道苹果是否已经发现并封堵了这个漏洞。

不过这次 FBI 事件应该是让苹果明白了，高手在民间，只是这些民间高手不是雷锋，有时候并不愿意免费为苹果服务，所以即使这些高手在苹果 iPhone 中发现了漏洞，他们也不愿意透露给苹果。

正所谓重金之下必有勇夫，苹果的重金一出，民间高手可能会纷纷亮剑，拼了命地去寻找漏洞。而且这种集思广益，吸取大众智慧的做法能让产品变得更安全。一直以来，一些有操守的白帽子在发现漏洞之后会将其提交给苹果官方。有时候苹果会回函向提供漏洞者致谢，也很快在更新中修补了漏洞，而且会在修复漏洞的说明页面感谢漏洞提供者。有时候一些严重的漏洞不是苹果自己发现的，多亏了这些愿意免费告知苹果的黑客（虽然不知道私底下苹果有没有奖励）。

苹果和国内的盘古越狱团队就是这种相爱相杀的关系。2014 年盘古发布 iOS 8.x 系列完美越狱之后，苹果就以 iOS 8.1.1 闪电般的速度掐死了盘古越狱之路。苹果特意在官方支持页面上介绍了 iOS 8.1.1 修复的安全漏洞，尤其是公开确认了盘古越狱所用漏洞已经修复，还特别感谢了盘古团队的“发现”。

盘古的 iOS 9.2 – 9.3.3 越狱发布之后，苹果也很快以 iOS 9.3.4 修复问题，并指出是盘古团队向苹果披露了这个重要的安全漏洞。

然而，更多的情况比这还糟：漏洞报告石沉大海，苹果不置可否，也并未及时修复。有些人认为苹果这样的做法是对他们的侮辱，如今苹果终于正视了这些高手的努力和付出，也算是皆大欢喜吧。

Apple Pay 是苹果公司的在线支付服务，一直以来在这项服务的宣传中苹果公司都主推它的安全特性。Apple Pay 通过应用业界领先的 Token (支付标记) 安全技术，保障用户的支付信息。安全性是 Apple Pay 的核心所在，添加信用卡或借记卡时，实际的卡号既不存储在设备上，也不存储在苹果的服务器上。系统会分配一个唯一的设备账号 (Device Account Number)，对该账号进行加密，并以安全的方式将其存储在设备的安全芯片 (Secure Element) 中。每次交易都使用一次性的唯一动态安全码进行授权。

此前澳大利亚银行曾经控诉苹果 Apple Pay 垄断市场，要求苹果开放 NFC，苹果就曾经对此做出回应，表示不可能开放 NFC，因为这会影响到设备和服务的安全。也就是说，虽然苹果对 Apple Pay 的安全系统有着严格的控制，但是他们也无法保证会不会有一些人想通过其他方法去攻击他们的这项服务。

对于苹果来说 Apple Pay 的安全马虎不得，需要想尽一切办法将潜在的威胁都消灭掉。因为 Apple Pay 本身覆盖面非常广，任何一个环节出现纰漏都有可能导致服务出现更大面积的瘫痪等问题，对 Apple Pay 生态系统中的任何一名用户来说都是巨大的威胁。而且 Apple Pay 这项服务可以说和用户切身利益相关，如果因为系统漏洞导致 Apple Pay 安全受到影响，最终利益受损的还是用户群体。

苹果想让 Apple Pay 继续健康发展下去，那还是得在安全上下功夫，不仅是平台自己的安全，还包括支持它的平台的安全。

2014 年苹果推出了 HealthKit 移动医疗应用平台之后，很快美国联邦贸易委员会(FTC)就表态，健康类移动应用搜集的大部分数据具有高度敏感性，他们要求苹果能够保证这类数据的共享、交换和保护情况。

对此苹果聘请了一个外部专家团队，就健康隐私保护问题作出回应，其中包括健康数据保护律师 Marcy Wilder。另外，苹果还考虑指定一名内部健康隐私保护负责人。苹果表示，该公司已经向包括 FTC 在内的各国监管机构描述了该公司产品的数据保护机制，监管机构则表示支持。

最近有消息表示，苹果公司将会推出一款健康设备，苹果在健康行业的野心是真的不小，既然如此实力必须配得上自己的野心，这个实力就包括保护敏感数据的安全。这也是他们可以在这个市场发展下去的基础。

现实正如科幻电影里所言，如果你找到的漏洞厉害得飞起，就会有诸多灰色组织向你伸出橄榄枝。此前曾被曝光的意大利著名网络军火商“Hacking Team”的内部数据中，存在大量极其危险的 iOS 0Day 漏洞，而这么多漏洞几乎全部是该组织在“漏洞市场”中“买”来的。

根据泄露的数据，一个普通的漏洞交易价格大约在 3.5-4.5 万美元之间，如果独家销售给 Hacking Team，价格至少会翻三倍。而行业人士指出一个有价值的 iOS 漏洞交易价格可能在几十万美金。

行业内也一直传言美国越狱大神“树人”也在将漏洞销售给经营灰色产业的公司。销售漏洞这种行为游走在法律的边缘，但是却因为丰厚的收益引发众多黑客铤而走险。

包括微软、谷歌在内的科技巨头都会提供数万美元的“漏洞赏金”计划，鼓励黑客把自家的漏洞提供给自己。为的就是避免一些发现漏洞的黑客为了利益在网络黑市销售这个漏洞。因为买家购买了这些漏洞之后会如何利用这些漏洞就没人知道，如果只是进行研究那还没有什么需要担心的大问题，但如果是不怀好意的人利用这些漏洞去攻击用户设备，盗取用户数据信息，或者是做影响用户安全利益的事情的话，那无论是苹果还会任何一家公司，这都是无法承受的代价。

不管终端如何改变，只要人们还处于信息时代，面对多样的信息安全危机，从数据本源出发，通过各种方式进行防护总是最稳妥的做法。苹果公司推出漏洞奖励计划，利用来自大众的智慧去保护大众的数据和隐私安全，多一份安全，多一份安心。