蘋果推白帽駭客專用機 iPhone 出借,提高抓蟲效率

不過蘋果似乎排除掉了Google Project Zero,主要是因為在「三個月揭露大限」的差異。
評論
Reuters/達志影像
評論

為了解決 iPhone 上 iOS 的各種安全漏洞問題,蘋果在最新安全研究設備計畫(Apple Security Research Device Program)中加入一項方案,徵求更多人員幫助 iPhone  抓蟲。

根據蘋果 Apple developer 網站公布資訊,符合資格的安全研究人員可以透過網站申請安全研究設備(Security Research Device),專用於安全性研究的 iPhone,具有獨特程式碼執行,研究人員每次出借時間為 12 個月,提供續借服務。

蘋果強在計劃中強調這些 iPhone 並不是提供給個人做為日常外出使用手機,因此不可將手機攜帶出住所,須經蘋果授權的人員才可以使用這些安全研究用機台。

蘋果推出安全研究設備計畫

蘋果為什麼要推出安全研究專用機?

iPhone 安全機制的雙面刃,蘋果對 iOS 以及應用程式的安裝都有嚴格的控管,雖然可以嚴加防止惡意軟體滲透到其軟體生態系統中,然而,相對的這樣封閉式生態系統會使安全研究人員難以分析 iOS 的漏洞。

去年,蘋果首度全面開放安全研究人員參與該公司的抓漏獎金計畫,計畫也擴大至 tvOS,iPadOS,watchOS 和 macOS,獎金從 2.5 萬美元到 100 萬美元不等,如今,透過安全研究設備(Security Research Device)更進一步提高安全研究的效率。

參與的研究人員可在 iPhone 擁有作業系統外層訪問權限,在機台上可在不同程度的安全性許可下執行 PC 程式碼,這些研究人員使用安全計畫提供的 iPhone 後,一旦發現漏洞可以直接向蘋果提高報告,如果該漏洞位於第三方程式碼中,也會立即提交報告給對應的第三方。

至於修復漏洞的時程,蘋果並無設定明確時間,僅表示將會盡快以具體的方式進行修復,並提供修復後新版本的發布日期。特別注意的是,在漏洞修復以前安全研究人員必須對「漏洞保密」。

排除 Google?Project Zero 負責人有話要說

Google 旗下也有類似的計畫,比如成立於 2014 年的資安團隊 Google Project Zero,此團隊專門找出各種軟體的安全漏洞,特別是可能會導致零時差攻擊者,不過在 Google 的計畫中與蘋果的運作有些不同,主要在「三個月揭露大限機制」上的差異。

在 Google Project Zero 中,人員找出安全漏洞會即時通知受影響軟體的開發者,在開發者還沒修補此漏洞前,不會對外公布, 而在 90 天之後,不論原開發者是否修復漏洞,都會自動公開提醒用戶以免受到威脅,而蘋果則沒有這項機制。

也因此,Ben Hawkes 在推特中發表評論表示,「由於漏洞揭露受到限制,Google 安全小組似乎無法使用此 Apple 的安全研究設備(Security Research Device)進行研究。」不過,Hawkes 補充。即便沒有提供專用設備, Project Zero 將繼續檢查 Apple 的軟體平台是否存在安全漏洞。

Hawkes 表示,過去在沒有專用的 iPhone 下,他們仍發現蘋果上許多漏洞,在 2014 年到 2015 年時,就開始向要求蘋果提供安全研究測試設備。時至今日已經向蘋果提交 350 多個安全漏洞。

核稿編輯:Mia

延伸閱讀:



傳產突圍!成祐精機攜手 awoo 用數位戰鬥力搶攻世界商機

當世界上許多競爭對手還不太清楚數位渠道能做什麼,成祐精機就與 awoo 阿物科技強強聯手,佈局數位市場,早在 2016 年時,從網路來的訂單就已經與實體配比來到對半,直到疫情前大約有 80% 新客戶來自網路,經過疫情洗禮現在更達到九成以上。
評論
Photo Credit: awoo
評論


疫情衝擊我不怕!用數位力超前部署,在 B2B 市場強勢成長!

當多數傳產都因為疫情無法以實體參展曝光而苦惱, 成祐精機早已藉數位遨遊在疫情下的藍海。成祐精機是台灣第一、亞洲前五名專職提供中高階世界級拉床解決方案業者,如 Ford、​​Toyota、​​ Masarati 到 Tesla 皆是客戶。過往因產品特殊,潛在客戶會從世界各國找尋適合的夥伴。成祐精機營銷總監黃禮宏提到:​​「一開始,我們是靠實體參展獲客,但後來發現,拉床這個行業屬接單生產,要抓住來各國商機,必須靠數位力輔助!我們​​在 2005 年便開始架設網站、​​2011 年經營 SEO,及拍攝相關影片上傳至網路,累積多元素材,讓動輒百萬千萬的設備需求有機會在網路找到客戶。當世界上許多競爭對手還不太清楚數位渠道能做什麼,成祐已經不斷地在數位領域累積。2016 年時從網路來的訂單就已經與實體配比來到對半。直到疫情前大約有 80% 新客戶來自網路,經過疫情洗禮現在更達到九成以上。」

Photo Credit: awoo
世界級拉床解決方案業者,成祐精機AXISCO

立即下載:《B2B 數位轉型白皮書 - 以數位行銷力決戰 2022》

疫情突圍,成祐提前佈局數位化市場,超前部署即戰力

踏入數位的路,其實也非一路順遂。萬事起頭難,黃禮宏提到一開始因傳產不懂數位環境,甚至被合作廠商欺騙。因此從頭摸索評估數位的績效指標,才有效說服高層與內部將有限行銷資源投入。

除找到適合的夥伴外,黃禮宏提到,也得想辦法「說人話」,​​讓許多數位化低的客戶或夥伴不需太多學習曲線便可感受數位好處。成祐精機秉持著以多元化素材經營 SEO ,吸引客戶手段來自於持續撰寫科普文章、成功案例,以及影片製作。講到這,許多傳產從業者也許會想問:難道都不怕被對手抄襲嗎?黃禮宏​​總監笑答:「除了聲量已經建立起來之外,我們擅長挖出客戶潛在需求,甚至更早一步想到客戶沒想到的地方,這些都是眼睛看不到的,競爭對手想光靠複製貼上就趕上的難度很高。另外,當我們放寬眼界,多接觸國外資訊,會更清楚機械技術上我們還有非常大的一段路要努力,不怕被模仿,只怕自己不進步。例如美國 70 年代就可發射載人太空梭到外太空,並將人平安送回地球。在拜訪美國工廠時發現,即使是他們五六十年前的技術,有些在今天看來仍覺得嘆為觀止,更不用說當今的新技術。換個角度想,因 B2B 產業決策期長,客戶在採購時更注重品牌聲譽,因此決戰場還是回到搜尋引擎上。當客戶搜尋相關關鍵字都看得到我們,甚至連搜尋模仿者品牌都會看到我們的相關內容時,模仿者們的抄襲更像是在幫我們宣傳。」

Photo Credit: awoo
成祐精機員工合照,第一排左三為成祐精機營銷總監 黃禮宏

機械業邁入新常態!未來實體展的行銷目標將扭轉為品牌信賴及交誼,不再是主戰場

疫情趨緩後,實體參展會恢復嗎?即使過往機械產業的數位化較低,但仍然回不去了!黃禮宏​​總監表示,在疫情爆發後,把原本要用於參展的資源通通投入數位轉型,如網站重新設計並投入 SEO、線上參觀工廠、AR&VR 開發應用,甚至建立快速便利的線上即時互動驗機系統,讓客戶可遠端查看各個角度獲得所需資訊​​等。各行各業的數位轉型喊了很多年,但直到疫情肆虐才無意中打通了最困難的一件事,那就是「教育市場」,讓潛在客戶開始接受各種數位解決方案。未來實體參展使需求方產生信賴以及情誼交流的功能仍然在,但不再會是最重要的行銷管道。也因此,未來在實體展的部分我們將只參加世界級大展,將原本參加地區性小展的資源全部集中挹注到數位行銷上,讓每一塊錢的投入產生最大的長尾效應。

決勝關鍵:成祐精機與 awoo 阿物科技強強聯手,佈局數位市場,創造行銷新價值

最後,黃禮宏總監特別提到:「疫情對傳產來說,可以稱之為​​「數位元年」​​。很多公司經過疫情的重擊紛紛醒了過來,開始投入數位行銷甚至轉型。要做數位,千萬不要單打獨鬥,找可信賴的合作夥伴更是重要。數年前在朋友的推薦找 awoo 阿物科技合作,從實際成本面來看,我們公司做了那麼多東西,行銷部門目前仍只需編制兩個人:由我主導公司的數位行銷策略以及內容寫作,另一名具視覺傳達專長的同仁擔任 PM 角色,照 awoo 給的建議,協同網站的外包廠商做優化,不需要設置龐大的部門便可在全球範圍做到好成效 ; 此外,更讓人驚艷的地方是內容創作上的協助。

以前認為這部分無法借他人之手完成,尤其工具機行業需要的技術底子比較深厚,不懂技術的人寫出來的文章可能打不到客戶需求,甚至錯誤連篇。但與 awoo 協作上,我們提供想要的關鍵字,awoo 團隊提供世界各國競爭對手的寫法,以及可參考的文章,讓我們在內容創作時更符合目標客群閱讀,進而使其下單 ; 格局與眼界上,awoo 也不輸給我們之前曾合作過的外國公司,就算我們鎖定的是美國市場,也能以台灣的在地團隊做出好成效。因此,我們將與 awoo 這個重要夥伴在未來更深度合作,期待攜手一同讓台灣品牌在世界舞台取得不敗之地。

立即下載:《B2B 數位轉型白皮書 - 以數位行銷力決戰 2022》

本文章內容由「 awoo 阿物科技」提供,經關鍵評論網媒體集團廣編企劃編審。