蘋果擴大漏洞懸賞計劃!最高賞金達4500萬 外媒:條件太嚴苛
蘋果8月在黑帽大會(Black Hat)上承諾將擴大漏洞賞金計劃範圍,而日前該計劃終於在官網上發佈了!根據蘋果發佈的價目表,蘋果將分別爲不同等級的漏洞提供最高10萬至100萬美元的獎金。
蘋果19日在官網發佈新版漏洞懸賞計劃。此前,蘋果的漏洞賞金計劃僅限於iOS的漏洞,並限制可參與計劃的人員,不過今年8月,蘋果於黑帽大會上宣佈將放寬懸賞計劃的範圍,並將獎金上限從原先的20萬美元增加至100萬美元。
據蘋果日前發佈的賞金計劃,懸賞的範圍從原先的iOS擴大至iPadOS、macOS、tvOS、watchOS及iCloud。如若研究人員在beta版中發現漏洞,將可再額外獲得50%的獎金,這意味着,蘋果此番漏洞懸賞計劃的最高金額爲150萬美元(約新臺幣4500萬元)。
▼蘋果漏洞懸賞給付範例。(圖/取自蘋果官網)
蘋果指出,欲參與計劃的研究人員需具有標準配置的iOS、iPadOS、macOS、tvOS及watchOS的最新公共可用版本,發現的問題必須出現在最新推出的硬體設備上。研究人員需提交明確的報告才能獲得獎金,報告內容須包括:詳細說明問題、觸發情境的條件及步驟、需被回報的理由及足夠的資訊讓蘋果能重現問題。
蘋果表示,懸賞計劃的目標是透過了解漏洞及其利用技術來保護客戶。若報告內僅包含基本概念證明而非有效漏洞利用,則研究人員所獲獎金將不超過最高支付金額的50%,若報告內缺少必要資訊能讓蘋果有效地重現該問題,「則獎金的給付金額將大大減少。」
據科技網站ZDNet報導,Jamf首席安全研究員、蘋果安全專家Patrick Wardle表示,蘋果在發放獎金方面門檻很高, 「漏洞賞金計劃最大的挑戰之一即過濾掉所有低於標準的報告,並瞭解何者爲真實、有效的漏洞及該漏洞可能帶來的影響。」因此要求漏洞利用是研究人員的責任,「這也將幫助蘋果迅速而全面地瞭解哪些漏洞應該被優先處理並修復。」
其他人也看了這些...