1
很多年來,研究人員和白帽黑客們發現,跟蘋果報告漏洞,對方好像并沒有什么反應,也就是說,蘋果一直在悄悄地拒絕給漏洞報告人員支付獎金。而這種做法今天終于要改變了。
蘋果安全主管伊萬·克斯迪克(Ivan Krstic)在本周四的黑帽網絡安全大會上表示,該公司將向找到其軟件漏洞的研究人員支付最多20萬美元的漏洞獎金。很顯然蘋果內部一直花了很多時間,將最優秀的員工投入到漏洞修補上面,但是現在蘋果方面表示“找到漏洞越來越困難"。
這個獎金雖然數目可觀,但對于以修補漏洞為生想要賺大錢的人來說,并不是多大的數目。要知道,之前據報道FBI為了征集破解一個嫌疑犯的iPhone密碼,出價100萬美元。
這個項目將在9月啟動,有以下5種漏洞獎勵類別。
安全引導固件的漏洞:最高20萬美元;
允許從安全區域提取機密文件的漏洞:最高10萬美元;
以內核權限執行未經認證的惡意代碼漏洞:最高5萬美元;
在蘋果服務器上獲取iCloud賬戶信息的漏洞:最高5萬美元;
由一個沙箱進程獲取沙箱以外用戶數據的漏洞:最高2.5萬美元。
但是這個項目目前是“邀請制”的,也就是說只對那些之前向蘋果報告過漏洞的研究人員開放。之前蘋果咨詢了業內已經實施類似項目的公司,意識到如果該項目完全對大眾開放,會最終因為報告的泛濫,而掩蓋了真正重要的高危漏洞。但是,蘋果表示也會慢慢把這個項目開放給新的安全研究人員。
Via TC
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
