很多年来,研究人员和白帽黑客们发现,跟苹果报告漏洞,对方好像并没有什么反应,也就是说,苹果一直在悄悄地拒绝给漏洞报告人员支付奖金。而这种做法今天终于要改变了。
苹果安全主管伊万·克斯迪克(Ivan Krstic)在本周四的黑帽网络安全大会上表示,该公司将向找到其软件漏洞的研究人员支付最多20万美元的漏洞奖金。很显然苹果内部一直花了很多时间,将最优秀的员工投入到漏洞修补上面,但是现在苹果方面表示“找到漏洞越来越困难"。
这个奖金虽然数目可观,但对于以修补漏洞为生想要赚大钱的人来说,并不是多大的数目。要知道,之前据报道FBI为了征集破解一个嫌疑犯的iPhone密码,出价100万美元。
这个项目将在9月启动,有以下5种漏洞奖励类别。
安全引导固件的漏洞:最高20万美元;
允许从安全区域提取机密文件的漏洞:最高10万美元;
以内核权限执行未经认证的恶意代码漏洞:最高5万美元;
在苹果服务器上获取iCloud账户信息的漏洞:最高5万美元;
由一个沙箱进程获取沙箱以外用户数据的漏洞:最高2.5万美元。
但是这个项目目前是“邀请制”的,也就是说只对那些之前向苹果报告过漏洞的研究人员开放。之前苹果咨询了业内已经实施类似项目的公司,意识到如果该项目完全对大众开放,会最终因为报告的泛滥,而掩盖了真正重要的高危漏洞。但是,苹果表示也会慢慢把这个项目开放给新的安全研究人员。
Via TC