苹果推出新的安全奖励计划:扩展报漏洞赢奖金的范围
苹果于昨天推出了自家新的安全漏洞奖励计划,跟其他已经推出有一段时间的同类奖励计划一样,所有安全研究者可以向苹果官方提供漏洞线索,或者是直接把如何利用漏洞的手法报告给官方以获得奖励,此前只有受邀请的安全研究者才能拿到奖励,另外,新的奖励计划覆盖了所有苹果的操作系统包括iCloud,此前只有iOS的安全漏洞才能拿到奖金。
苹果这几年被诟病最多的除了手机缺乏有新意的更新以外,可能就是他们的软件质量问题了,今年的iOS 13再一次放大了这个问题。除了软件的质量,苹果在这几年里面还不断地被安全研究者发现存有安全性的漏洞,新一点的就是那个Checkm8漏洞,直接就是底层固件上面出问题并且影响到了数以亿计的设备,稍微老一点的有macOS上面的绕过root密码那样的漏洞。
每次苹果更新旗下的系统都会推出一份安全性更新说明,在里面写有漏洞编号、描述和发现人/机构,不过这种简单的记名方式好像吸引不了更多的研究者来向苹果报告漏洞,于是跟很多公司一样,他们推出了奖励机制,用金钱这种方式来奖励向苹果汇报漏洞的个人/机构,奖金数量还是不错的,像是难度较低的无授权访问iCloud账户数据这样的操作给了最大10万美元的奖励,而像“无点击情况下向内核注入代码并做到永存且绕过内核PAC机制”这样超级困难的操作苹果会奖励多达100万美元,还是比较有吸引力的,重赏之下必有勇夫。
也希望苹果能够通过这项奖励计划将他们的系统修成固定金汤的城堡,做到他们宣称的高安全性标准。
赞 (0)