據報導,FBI 向專業黑客支付了一筆一次性費用,以獲取一個先前未知的漏洞,該漏洞使該機構能夠解鎖聖貝納迪諾槍擊案兇手的 iPhone。
《華盛頓郵報》稱,該漏洞使 FBI 能夠製造出一種能夠暴力破解 iPhone PIN 碼的設備,而不會觸發可能會擦除所有數據的安全措施報導週二,援引未透露姓名的知情人士的話稱。
據該報報導,向聯邦調查局提供漏洞的黑客發現了軟件漏洞,有時會將其出售給美國政府。
此前有媒體報導稱,以色列移動取證公司 Cellebrite 是幫助 FBI 解鎖 Farook 的 iPhone 5c 的未具名第三方。 《華盛頓郵報》的消息人士稱,事實並非如此。
今年 2 月,一名法官命令蘋果公司編寫特殊軟件,幫助 FBI 禁用 iPhone 的自動擦除保護功能。蘋果公司對該命令提出質疑,但 3 月底,聯邦調查局 (FBI) 使用從未透露姓名的第三方獲得的技術成功解鎖 iPhone 後撤銷了此案。
上週,聯邦調查局局長詹姆斯·科米在俄亥俄州凱尼恩學院發表講話時表示,該機構使用的解鎖工具僅適用於“一小部分 iPhone”,例如 5c 和舊型號。
這可能是因為較新的型號將加密材料存儲在稱為安全飛地的安全硬件元件內,該元件首次在 iPhone 5s 中引入。
FBI 沒有立即回應一項詢問,要求確認該機構是否從專業黑客那裡購買了 iPhone 5c 漏洞。
然而,存在一個隱蔽且基本上不受監管的漏洞市場,該市場未向軟件供應商報告,這已不是什麼秘密。有些黑客和安全研究人員通常通過第三方經紀人向執法機構和情報機構出售“零日”漏洞。
11 月,一家名為 Zerodium 的漏洞收購公司基於瀏覽器的零日漏洞可能會完全危害 iOS 9 設備。該公司網站稱,該公司與客戶分享其獲得的漏洞,其中包括“需要特定和定製網絡安全能力的政府組織”。
去年從監控軟件製造商 Hacking Team 洩露的文件中,包括一份包含零日漏洞的文檔,該文檔由一家名為 Vulnerativity Brokerage International 的公司出售。 Hacking Team 向執法機構出售其監控軟件以及可用於在用戶計算機上靜默部署該軟件的漏洞。
目前尚不清楚聯邦調查局是否計劃最終向蘋果報告該漏洞。在上周凱尼恩學院的討論中,科米表示,聯邦調查局仍在解決這個問題以及與其獲得的工具相關的其他政策問題。
2014 年 4 月,在有關國家安全局儲存漏洞的報告之後,白宮概述了政府與供應商共享漏洞信息的政策。總統特別助理兼網絡安全協調員邁克爾·丹尼爾 (Michael Daniel) 在一份報告中表示,“漏洞披露有一個嚴格、嚴格和高層的決策流程”,可以權衡披露缺陷和利用漏洞進行情報收集之間的利弊。博客文章然後。
一些軟件供應商設立了錯誤賞金計劃,並向私下報告其產品中發現的漏洞的黑客付費。然而,供應商支付的獎勵無法與政府能夠並且願意為相同缺陷支付的金額相競爭。
漏洞情報公司 Risk Based Security 首席信息安全官 Jake Kouns 在電子郵件中表示:“我寧願供應商不要試圖參與競標,而是從一開始就專注於通過創建安全產品來完全消除市場。”
他補充說,軟件供應商應該“投入大量資金、精力和時間”來培訓開發人員安全編碼實踐並在發布代碼之前對其進行審查。