苹果扩大漏洞悬赏计划!最高赏金达4500万 外媒:条件太严苛
苹果8月在黑帽大会(Black Hat)上承诺将扩大漏洞赏金计划范围,而日前该计划终于在官网上发布了!根据苹果发布的价目表,苹果将分别为不同等级的漏洞提供最高10万至100万美元的奖金。
苹果19日在官网发布新版漏洞悬赏计划。此前,苹果的漏洞赏金计划仅限于iOS的漏洞,并限制可参与计划的人员,不过今年8月,苹果于黑帽大会上宣布将放宽悬赏计划的范围,并将奖金上限从原先的20万美元增加至100万美元。
据苹果日前发布的赏金计划,悬赏的范围从原先的iOS扩大至iPadOS、macOS、tvOS、watchOS及iCloud。如若研究人员在beta版中发现漏洞,将可再额外获得50%的奖金,这意味着,苹果此番漏洞悬赏计划的最高金额为150万美元(约新台币4500万元)。
▼苹果漏洞悬赏给付范例。(图/取自苹果官网)
苹果指出,欲参与计划的研究人员需具有标准配置的iOS、iPadOS、macOS、tvOS及watchOS的最新公共可用版本,发现的问题必须出现在最新推出的硬体设备上。研究人员需提交明确的报告才能获得奖金,报告内容须包括:详细说明问题、触发情境的条件及步骤、需被回报的理由及足够的资讯让苹果能重现问题。
苹果表示,悬赏计划的目标是透过了解漏洞及其利用技术来保护客户。若报告内仅包含基本概念证明而非有效漏洞利用,则研究人员所获奖金将不超过最高支付金额的50%,若报告内缺少必要资讯能让苹果有效地重现该问题,「则奖金的给付金额将大大减少。」
据科技网站ZDNet报导,Jamf首席安全研究员、苹果安全专家Patrick Wardle表示,苹果在发放奖金方面门槛很高, 「漏洞赏金计划最大的挑战之一即过滤掉所有低于标准的报告,并了解何者为真实、有效的漏洞及该漏洞可能带来的影响。」因此要求漏洞利用是研究人员的责任,「这也将帮助苹果迅速而全面地了解哪些漏洞应该被优先处理并修复。」
其他人也看了这些...