相比谷歌、微軟等科技巨頭，蘋(píng)果這個(gè)計(jì)劃到來(lái)的時(shí)間有點(diǎn)晚，但是遲到總比不到好。這么多年來(lái)，無(wú)論行業(yè)有多少人提出蘋(píng)果公司應(yīng)該提供漏洞獎(jiǎng)勵(lì)計(jì)劃，而蘋(píng)果都無(wú)動(dòng)于衷。如今蘋(píng)果推出漏洞計(jì)劃，這多少讓人感到有點(diǎn)意外，但也是意料之中的事情。iOS 和 macOS 生態(tài)系統(tǒng)近年逐步完善，受到的關(guān)注越來(lái)越多，蘋(píng)果也一直在強(qiáng)調(diào)用戶(hù)隱私和數(shù)據(jù)安全，所以遲早還是得選擇這一條路。

今年年初，因?yàn)檎{(diào)查犯罪事件需要，F(xiàn)BI 要求蘋(píng)果公司協(xié)助破解 iPhone 5c，但蘋(píng)果方面明確拒絕了 FBI 的要求，表示自己有心也無(wú)力，因?yàn)樘O(píng)果對(duì)系統(tǒng)和安全機(jī)制的設(shè)計(jì)就是蘋(píng)果自己也破不了。雙方為此還鬧上了法庭，在科技行業(yè)也引起了巨大關(guān)注，還有不少科技巨頭發(fā)聲表示支持蘋(píng)果。

就在雙方僵持不下之時(shí)，F(xiàn)BI 突然宣布他們已經(jīng)繞過(guò)蘋(píng)果借助神秘的第三方組織破解了 iPhone 5c。FBI 破解了 iPhone 漏洞之后表示但并不計(jì)劃告知蘋(píng)果細(xì)節(jié)，而且未來(lái)幾年可能會(huì)繼續(xù)利用這個(gè)漏洞?，F(xiàn)在我們不知道蘋(píng)果是否已經(jīng)發(fā)現(xiàn)并封堵了這個(gè)漏洞。

不過(guò)這次 FBI 事件應(yīng)該是讓蘋(píng)果明白了，高手在民間，只是這些民間高手不是雷鋒，有時(shí)候并不愿意免費(fèi)為蘋(píng)果服務(wù)，所以即使這些高手在蘋(píng)果 iPhone 中發(fā)現(xiàn)了漏洞，他們也不愿意透露給蘋(píng)果。

正所謂重金之下必有勇夫，蘋(píng)果的重金一出，民間高手可能會(huì)紛紛亮劍，拼了命地去尋找漏洞。而且這種集思廣益，吸取大眾智慧的做法能讓產(chǎn)品變得更安全。一直以來(lái)，一些有操守的白帽子在發(fā)現(xiàn)漏洞之后會(huì)將其提交給蘋(píng)果官方。有時(shí)候蘋(píng)果會(huì)回函向提供漏洞者致謝，也很快在更新中修補(bǔ)了漏洞，而且會(huì)在修復(fù)漏洞的說(shuō)明頁(yè)面感謝漏洞提供者。有時(shí)候一些嚴(yán)重的漏洞不是蘋(píng)果自己發(fā)現(xiàn)的，多虧了這些愿意免費(fèi)告知蘋(píng)果的黑客（雖然不知道私底下蘋(píng)果有沒(méi)有獎(jiǎng)勵(lì)）。

蘋(píng)果和國(guó)內(nèi)的盤(pán)古越獄團(tuán)隊(duì)就是這種相愛(ài)相殺的關(guān)系。2014 年盤(pán)古發(fā)布 iOS 8.x 系列完美越獄之后，蘋(píng)果就以 iOS 8.1.1 閃電般的速度掐死了盤(pán)古越獄之路。蘋(píng)果特意在官方支持頁(yè)面上介紹了 iOS 8.1.1 修復(fù)的安全漏洞，尤其是公開(kāi)確認(rèn)了盤(pán)古越獄所用漏洞已經(jīng)修復(fù)，還特別感謝了盤(pán)古團(tuán)隊(duì)的“發(fā)現(xiàn)”。

今年早些時(shí)候盤(pán)古的 iOS 9.x 系列完美越獄發(fā)布之后，蘋(píng)果也很快以 iOS 9.3.4 修復(fù)問(wèn)題，并指出是盤(pán)古團(tuán)隊(duì)向蘋(píng)果披露了這個(gè)重要的安全漏洞。

然而，更多的情況比這還糟：漏洞報(bào)告石沉大海，蘋(píng)果不置可否，也并未及時(shí)修復(fù)。有些人認(rèn)為蘋(píng)果這樣的做法是對(duì)他們的侮辱，如今蘋(píng)果終于正視了這些高手的努力和付出，也算是皆大歡喜吧。

Apple Pay 是蘋(píng)果公司的在線支付服務(wù)，一直以來(lái)在這項(xiàng)服務(wù)的宣傳中蘋(píng)果公司都主推它的安全特性。Apple Pay 通過(guò)應(yīng)用業(yè)界領(lǐng)先的 Token (支付標(biāo)記) 安全技術(shù)，保障用戶(hù)的支付信息。安全性是 Apple Pay 的核心所在，添加信用卡或借記卡時(shí)，實(shí)際的卡號(hào)既不存儲(chǔ)在設(shè)備上，也不存儲(chǔ)在蘋(píng)果的服務(wù)器上。系統(tǒng)會(huì)分配一個(gè)唯一的設(shè)備賬號(hào) (Device Account Number)，對(duì)該賬號(hào)進(jìn)行加密，并以安全的方式將其存儲(chǔ)在設(shè)備的安全芯片 (Secure Element) 中。每次交易都使用一次性的唯一動(dòng)態(tài)安全碼進(jìn)行授權(quán)。

此前澳大利亞銀行曾經(jīng)控訴蘋(píng)果 Apple Pay 壟斷市場(chǎng)，要求蘋(píng)果開(kāi)放 NFC，蘋(píng)果就曾經(jīng)對(duì)此做出回應(yīng)，表示不可能開(kāi)放 NFC，因?yàn)檫@會(huì)影響到設(shè)備和服務(wù)的安全。也就是說(shuō)，雖然蘋(píng)果對(duì) Apple Pay 的安全系統(tǒng)有著嚴(yán)格的控制，但是他們也無(wú)法保證會(huì)不會(huì)有一些人想通過(guò)其他方法去攻擊他們的這項(xiàng)服務(wù)。

對(duì)于蘋(píng)果來(lái)說(shuō) Apple Pay 的安全馬虎不得，需要想盡一切辦法將潛在的威脅都消滅掉。因?yàn)?Apple Pay 本身覆蓋面非常廣，任何一個(gè)環(huán)節(jié)出現(xiàn)紕漏都有可能導(dǎo)致服務(wù)出現(xiàn)更大面積的癱瘓等問(wèn)題，對(duì) Apple Pay 生態(tài)系統(tǒng)中的任何一名用戶(hù)來(lái)說(shuō)都是巨大的威脅。而且 Apple Pay 這項(xiàng)服務(wù)可以說(shuō)和用戶(hù)切身利益相關(guān)，如果因?yàn)橄到y(tǒng)漏洞導(dǎo)致 Apple Pay 安全受到影響，以致于用戶(hù)利益受損。

蘋(píng)果想讓 Apple Pay 繼續(xù)健康發(fā)展下去，那還是得在安全上下功夫，不僅是平臺(tái)自己的安全，還包括支持它的平臺(tái)的安全。

2014 年蘋(píng)果推出了 HealthKit 移動(dòng)醫(yī)療應(yīng)用平臺(tái)之后，很快美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)就表態(tài)，健康類(lèi)移動(dòng)應(yīng)用搜集的大部分?jǐn)?shù)據(jù)忽悠高度敏感性，他們蘋(píng)果蘋(píng)果能夠保證這類(lèi)數(shù)據(jù)的共享、交換和保護(hù)情況。

對(duì)此蘋(píng)果聘請(qǐng)了一個(gè)外部專(zhuān)家團(tuán)隊(duì)，就健康隱私保護(hù)問(wèn)題作出回應(yīng)，其中包括健康數(shù)據(jù)保護(hù)律師 Marcy Wilder。另外，蘋(píng)果還考慮指定一名內(nèi)部健康隱私保護(hù)負(fù)責(zé)人。蘋(píng)果表示，該公司已經(jīng)向包括 FTC 在內(nèi)的各國(guó)監(jiān)管機(jī)構(gòu)描述了該公司產(chǎn)品的數(shù)據(jù)保護(hù)機(jī)制，監(jiān)管機(jī)構(gòu)則表示支持。

最近有消息表示，蘋(píng)果公司將會(huì)推出一款健康設(shè)備，蘋(píng)果在健康行業(yè)的野心是真的不小，既然如此實(shí)力必須配得上自己的野心，這個(gè)實(shí)力就包括保護(hù)敏感數(shù)據(jù)的安全。這也是他們可以在這個(gè)市場(chǎng)發(fā)展下去的基礎(chǔ)。

現(xiàn)實(shí)正如科幻電影里所言，如果你找到的漏洞碉堡了，會(huì)有諸多灰色組織向你伸出橄欖枝。此前曾被曝光的意大利著名網(wǎng)絡(luò)軍火商“Hacking Team”的內(nèi)部數(shù)據(jù)中，存在大量極其危險(xiǎn)的 iOS 0Day 漏洞，而這么多漏洞幾乎全部是該組織在“漏洞市場(chǎng)'中“買(mǎi)”來(lái)的。

根據(jù)泄露的數(shù)據(jù)，一個(gè)普通的漏洞交易價(jià)格大約在 3.5-4.5 萬(wàn)美元之間，如果獨(dú)家銷(xiāo)售給 Hacking Team，價(jià)格至少會(huì)翻三倍。而行業(yè)人士指出一個(gè)有價(jià)值的iOS漏洞交易價(jià)格可能在幾十萬(wàn)美金。

行業(yè)內(nèi)也一直傳言美國(guó)越獄大神“樹(shù)人”也在將漏洞銷(xiāo)售給經(jīng)營(yíng)黑色產(chǎn)業(yè)的公司。銷(xiāo)售漏洞這種行為游走在法律的邊緣，但是卻因?yàn)樨S厚的收益引發(fā)眾多黑客鋌而走險(xiǎn)。

包括微軟、谷歌在內(nèi)的科技巨頭都會(huì)提供數(shù)萬(wàn)美元的“漏洞賞金”計(jì)劃，鼓勵(lì)黑客把自家的漏洞提供給自己。為的就是避免一些發(fā)現(xiàn)漏洞的黑客為了利益在網(wǎng)絡(luò)黑市里銷(xiāo)售這個(gè)漏洞。因?yàn)橘I(mǎi)家購(gòu)買(mǎi)了這些漏洞之后會(huì)如何利用這些漏洞就沒(méi)人知道，如果只是進(jìn)行研究那還沒(méi)有什么需要擔(dān)心的大問(wèn)題，但如果是不懷好意的人利用這些漏洞去攻擊用戶(hù)設(shè)備，**用戶(hù)數(shù)據(jù)信息，或者是做影響用戶(hù)安全利益的事情的話，那無(wú)論是蘋(píng)果還會(huì)任何一家公司，這都是無(wú)法承受的代價(jià)。

不管終端如何改變，只要人們還處于信息時(shí)代，面對(duì)多樣的信息安全危機(jī)，從數(shù)據(jù)本源出發(fā)，通過(guò)各種方式進(jìn)行防護(hù)總是最穩(wěn)妥的做法。蘋(píng)果公司推出漏洞獎(jiǎng)勵(lì)計(jì)劃，利用來(lái)自大眾的智慧去保護(hù)大眾的數(shù)據(jù)和隱私安全，多一份安全，多一份安心。