根據《Macworld》報導,近日一名資安研究員在社群平台 X 上發文表示,他發現 Apple Safari 瀏覽器中存在一個嚴重漏洞。該漏洞被蘋果官方評為「高風險」,嚴重程度高達 9.8 分(滿分為 10 分),但最後他只拿到 1000 美元(約新台幣 3.24 萬元)的漏洞回報獎金,引發社群熱議。
蘋果向來鼓勵資安專家協助尋找與回報旗下裝置與應用程式中的安全漏洞,並提供最高可達 200 萬美元(約新台幣 6480 萬元)的獎金。早在 2022 年,蘋果曾更新漏洞回報計畫,表示平均每件支付金額為 4 萬美元(約新台幣 129.6 萬元),而過去也曾針對「高影響」漏洞發出過 20 次超過六位數獎金。例如,曾有一位學生因成功遠端控制 Mac 與 iPhone 鏡頭,獲得高達 17.5 萬美元(約新台幣 567 萬元)獎金。
然而,不知道蘋果是不是也要開始省錢了,這次的案例讓人有些失望。該研究員 RenwaX23 發現的漏洞為「通用跨站指令碼(UXSS)」,駭客可藉此假冒使用者身份存取其資料。他展示該漏洞可被用來瀏覽 iCloud 資料,甚至操控 iOS 相機 App。
根據蘋果的官方紀錄,該漏洞編號為 CVE-2025-30466,屬於高風險等級,並已在今年 3 月推出的 Safari 18.4 版本中修復,該版本隨 iOS / iPadOS 18.4 與 macOS 15.4 一併更新發佈。儘管漏洞本身相當嚴重,但 RenwaX23 最終只收到區區 1000 美元(約新台幣 3.24 萬元),與風險等級明顯不符。
《Macworld》分析指出,賞金之所以這麼低,可能與漏洞利用條件有關——攻擊者需誘導使用者進行某些操作,才能觸發漏洞。蘋果在評估漏洞賞金時,確實會考慮「是否需要使用者互動」這個變數。
不過,也有其他研究員表示,類似的待遇似乎不是個案。另一名研究員曾透露,他回報的漏洞本應依照蘋果標準獲得 5 萬美元(約新台幣 162 萬元),但實際只拿到 5000 美元(約新台幣 16.2 萬元)。
- 延伸閱讀:珍娜·傑克森的《Rhythm Nation》竟成筆電當機元兇,還被微軟列為官方資安漏洞?微軟工程師揭致災真相
- 延伸閱讀:小六就破解 Teams漏洞!13 歲資安天才少年 Dylan 成為微軟 MSRC 最年輕合作研究員
- 延伸閱讀:中華電信憑證遭 Google Chrome 移除預設信任,官方回應未涉安全漏洞
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!