加油吧,少年!苹果20万美元悬赏通缉漏洞
在今年的黑帽大会上苹果公司安全工程师伊万·克里斯迪克(Ivan Krstic)宣布启动漏洞奖励计划,苹果将会给任何在苹果公司软件中发现重大 bug 和安全漏洞的个人提供奖励。
其实目前很多大型科技公司,比如谷歌和微软都有漏洞发现奖励计划,鼓励有能力的人去发现和报告软件系统中所存在的重大漏洞等。例如,谷歌上月宣布,该公司去年向发现 Android 软件漏洞的研究人员总共支付了 55 万美元奖金。Facebook 也在今年 2 月表示,从 2011 年开始,该公司的漏洞奖励项目总共向全球 800 名研究人员支付了超过 430 万美元奖金。不过苹果公司是直到最近才宣布提供类似的奖励。
参加了今年的黑帽大会的 Cydia 之父 Saurik(Jay Freeman)在自己的推特上更新了这一条消息,他表示苹果还承诺将会优先考虑推送更新。
根据国外媒体的报道,苹果公司本次推出漏洞奖励计划也证明了他们想进一步向黑客、研究人员、密码学家以及很多想要帮助提升苹果软件系统的人开放,欢迎这些人来帮助发现更多漏洞和问题。
根据研究人员所发现的漏洞和问题的不同,苹果公司最多会提供高达 20 万美元的奖励。如果是发现安全 boot 固件部件方面的问题,研究人员可以获得 20 万美元的奖励,但如果是小的漏洞,比如通过沙箱进程访问沙箱外用户数据的问题,最多只能得到 25000 美元的奖励。
虽然苹果已经说明了发现不同类型的漏洞所能获得的最高奖励金额,但是他们还是会通过以下几个因素来确定漏洞发现者最终应该获得多少奖励:漏洞报道的清晰程度;所发现的问题的新奇程度以及用户因此受影响的可能性;漏洞若要产生影响所需要的用户交互程度。
苹果公司计划从今年 9 月份起正式启动他们的漏洞奖励计划。研究人员如果想要拿到奖金的话,除了发现漏洞之外,还必须提供在最新版iOS和最新硬件上的概念验证。苹果同样还鼓励研究人员将他们获得的奖金捐献出去,用于慈善事业,而苹果也会根据开发者的捐赠进行相应的捐赠匹配活动。
目前苹果的这项漏洞奖励计划还是邀请制的,他们只邀请了十几名研究人员参与这项计划。苹果公司表示随着该计划的发展壮大,他们会进一步开放,吸引更多研究人员,如果未受邀请的个人发现了重大漏洞,他也会被邀请参加这项计划。
-
苹果公司将向每个员工发放2500美元股票奖励
据外媒报道,苹果公司近日宣布将在未来几个月向公司员工每人发放2500美元的限制性股票作为奖金。
-
发现 FaceTime 漏洞的少年将得到苹果数万美元的奖励
上周曝出的 FaceTime 窃听 Bug 最初是被一位少年发现的,这位少年就 Grant Thompson 。Grant Thompson和他的母亲在大上周发现了这个 Bug ,并向苹果汇报。由于苹果 Bug 汇报系统的流程,苹果并没有及时的处理。FaceTime 窃听 Bug 曝出后,Grant Thompson在推特上分享了自己与苹果公司之间的交流,并证明了自己的确是第一个发现 Bug 的人。在 1 月 22 日左右,苹果支持团队指导 Grant Thompson的母亲注册开发者账户,然后进行 Bug ...
-
研究人员不愿给苹果报告漏洞 称赏金太少
去年苹果安全工程师伊万·克里斯迪克(Ivan Krstic)在黑帽安全大会(Black Hat Security Conference)上宣布,该公司将于 9 月推出 Bug Bounty Program 漏洞赏金计划,将为发现软件重大漏洞和缺陷的个人提供现金奖励,不过这个计划仅面向受邀请的研究人员。如今这个计划推出快一年了,成效如何呢?
-
苹果修复漏洞 阻止未经授权收集传感器数据
英国纽卡斯尔大学研究员日前公开了一份研究结果。他们通过研究发现网页浏览器无需获得用户许可即可收集大部分传感器数据,甚至可以根据其中的移动数据来判断用户在设备上做什么。通过分析,它只要一次就能够猜测出 4 位 PIN 码,准确率高达 70%,而第五次猜测之后准确率可以达到 100%。
-
苹果爆新漏洞:FaceTime通话或能被窃听
苹果近日披露,新发现的计算机漏洞能够让攻击者窃听用户的FaceTime通话。