1
很多年來,研究人員和白帽黑客們發(fā)現(xiàn),跟蘋果報(bào)告漏洞,對(duì)方好像并沒有什么反應(yīng),也就是說,蘋果一直在悄悄地拒絕給漏洞報(bào)告人員支付獎(jiǎng)金。而這種做法今天終于要改變了。
蘋果安全主管伊萬·克斯迪克(Ivan Krstic)在本周四的黑帽網(wǎng)絡(luò)安全大會(huì)上表示,該公司將向找到其軟件漏洞的研究人員支付最多20萬美元的漏洞獎(jiǎng)金。很顯然蘋果內(nèi)部一直花了很多時(shí)間,將最優(yōu)秀的員工投入到漏洞修補(bǔ)上面,但是現(xiàn)在蘋果方面表示“找到漏洞越來越困難"。
這個(gè)獎(jiǎng)金雖然數(shù)目可觀,但對(duì)于以修補(bǔ)漏洞為生想要賺大錢的人來說,并不是多大的數(shù)目。要知道,之前據(jù)報(bào)道FBI為了征集破解一個(gè)嫌疑犯的iPhone密碼,出價(jià)100萬美元。
這個(gè)項(xiàng)目將在9月啟動(dòng),有以下5種漏洞獎(jiǎng)勵(lì)類別。
安全引導(dǎo)固件的漏洞:最高20萬美元;
允許從安全區(qū)域提取機(jī)密文件的漏洞:最高10萬美元;
以內(nèi)核權(quán)限執(zhí)行未經(jīng)認(rèn)證的惡意代碼漏洞:最高5萬美元;
在蘋果服務(wù)器上獲取iCloud賬戶信息的漏洞:最高5萬美元;
由一個(gè)沙箱進(jìn)程獲取沙箱以外用戶數(shù)據(jù)的漏洞:最高2.5萬美元。
但是這個(gè)項(xiàng)目目前是“邀請(qǐng)制”的,也就是說只對(duì)那些之前向蘋果報(bào)告過漏洞的研究人員開放。之前蘋果咨詢了業(yè)內(nèi)已經(jīng)實(shí)施類似項(xiàng)目的公司,意識(shí)到如果該項(xiàng)目完全對(duì)大眾開放,會(huì)最終因?yàn)閳?bào)告的泛濫,而掩蓋了真正重要的高危漏洞。但是,蘋果表示也會(huì)慢慢把這個(gè)項(xiàng)目開放給新的安全研究人員。
Via TC
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
