(原標(biāo)題:你有本事拿嗎?蘋果漏洞獎(jiǎng)勵(lì)最高20萬美元)
8月5日消息,在今年的黑帽大會(huì)上蘋果公司安全工程師伊萬·克里斯迪克(Ivan Krstic)宣布啟動(dòng)漏洞獎(jiǎng)勵(lì)計(jì)劃,蘋果將會(huì)給任何在蘋果公司軟件中發(fā)現(xiàn)重大 bug 和安全漏洞的個(gè)人提供獎(jiǎng)勵(lì)。
其實(shí)目前很多大型科技公司,比如谷歌和微軟都有漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)計(jì)劃,鼓勵(lì)有能力的人去發(fā)現(xiàn)和報(bào)告軟件系統(tǒng)中所存在的重大漏洞等。例如,谷歌上月宣布,該公司去年向發(fā)現(xiàn) Android 軟件漏洞的研究人員總共支付了 55 萬美元獎(jiǎng)金。Facebook 也在今年 2 月表示,從 2011 年開始,該公司的漏洞獎(jiǎng)勵(lì)項(xiàng)目總共向全球 800 名研究人員支付了超過 430 萬美元獎(jiǎng)金。不過蘋果公司是直到最近才宣布提供類似的獎(jiǎng)勵(lì)。
參加了今年的黑帽大會(huì)的 Cydia 之父 Saurik(Jay Freeman)在自己的推特上更新了這一條消息,他表示蘋果還承諾將會(huì)優(yōu)先考慮推送更新。
根據(jù)國(guó)外媒體的報(bào)道,蘋果公司本次推出漏洞獎(jiǎng)勵(lì)計(jì)劃也證明了他們想進(jìn)一步向黑客、研究人員、密碼學(xué)家以及很多想要幫助提升蘋果軟件系統(tǒng)的人開放,歡迎這些人來幫助發(fā)現(xiàn)更多漏洞和問題。
根據(jù)研究人員所發(fā)現(xiàn)的漏洞和問題的不同,蘋果公司最多會(huì)提供高達(dá) 20 萬美元的獎(jiǎng)勵(lì)。如果是發(fā)現(xiàn)安全 boot 固件部件方面的問題,研究人員可以獲得 20 萬美元的獎(jiǎng)勵(lì),但如果是小的漏洞,比如通過沙箱進(jìn)程訪問沙箱外用戶數(shù)據(jù)的問題,最多只能得到 25000 美元的獎(jiǎng)勵(lì)。
雖然蘋果已經(jīng)說明了發(fā)現(xiàn)不同類型的漏洞所能獲得的最高獎(jiǎng)勵(lì)金額,但是他們還是會(huì)通過以下幾個(gè)因素來確定漏洞發(fā)現(xiàn)者最終應(yīng)該獲得多少獎(jiǎng)勵(lì):漏洞報(bào)道的清晰程度;所發(fā)現(xiàn)的問題的新奇程度以及用戶因此受影響的可能性;漏洞若要產(chǎn)生影響所需要的用戶交互程度。
蘋果公司計(jì)劃從今年 9 月份起正式啟動(dòng)他們的漏洞獎(jiǎng)勵(lì)計(jì)劃。研究人員如果想要拿到獎(jiǎng)金的話,除了發(fā)現(xiàn)漏洞之外,還必須提供在最新版iOS和最新硬件上的概念驗(yàn)證。蘋果同樣還鼓勵(lì)研究人員將他們獲得的獎(jiǎng)金捐獻(xiàn)出去,用于慈善事業(yè),而蘋果也會(huì)根據(jù)開發(fā)者的捐贈(zèng)進(jìn)行相應(yīng)的捐贈(zèng)匹配活動(dòng)。
目前蘋果的這項(xiàng)漏洞獎(jiǎng)勵(lì)計(jì)劃還是邀請(qǐng)制的,他們只邀請(qǐng)了十幾名研究人員參與這項(xiàng)計(jì)劃。蘋果公司表示隨著該計(jì)劃的發(fā)展壯大,他們會(huì)進(jìn)一步開放,吸引更多研究人員,如果未受邀請(qǐng)的個(gè)人發(fā)現(xiàn)了重大漏洞,他也會(huì)被邀請(qǐng)參加這項(xiàng)計(jì)劃。