在拉斯維加斯舉行的Black Hat網絡安全會議上,蘋果發布了一個漏洞賞金計劃,該計劃將獎勵安全研究人員發現和報告他們在公司產品和服務上發現的漏洞。
Apple的Bug Bounty計劃將於9月推出,這是該公司首次明確提供現金獎勵以換取有關漏洞的信息。
蘋果是科技行業中的最後一個啟動Bug Bounty計劃的知名人士之一。儘管Facebook,Google和Microsoft等主要參與者已經制定了多年的計劃,但Apple以前曾依靠其內部安全團隊以及與安全研究人員的非正式關係,而Tip Line則維持了報告問題。
該程序,是揭開了蘋果安全負責人Ivan Krstic的獎金將為報告的蟲子支付高達20萬美元的賞金。獎勵的目的與其他漏洞賞金計劃類似,是要讓安全研究人員告訴蘋果他們發現的任何漏洞,而不是向黑客群體或政府出售信息。
最終啟動漏洞賞金計劃的決定可能與蘋果與美國司法部最近的法律鬥爭有關。蘋果拒絕為了幫助政府創建一個後門來加密iPhone 5C,該iPhone 5C在去年的San Bernardino事件中使用了其中一名射擊者,因為可以在所有其他iPhone上使用解決方法,從而冒著所有Apple設備使用者的安全性。
政府沒有留在法庭上,而是決定轉向第三方網絡安全研究小組,該小組能夠利用iOS 9中先前未報告的問題。該小組能夠破解iPhone 5C的加密,據報導政府已有有薪酬的黑客工具超過100萬美元。
根據網絡安全研究公司Securisosios首席執行官Rich Mogull的說法,蘋果本可以通過較早啟動Bug Bounty計劃來防止這種情況展開。但是,他補充說,該公司可能無法超過任何政府或集團願意為破壞蘋果數字防禦的工具支付100萬美元的政府或團體。
儘管如此,一個漏洞賞金計劃總比沒有好,因為可以將更多的漏洞報告給蘋果,而不是簡單地漂浮,等待被不良意圖的黑客發現和利用。
但是,該程序當前是邀請,只有幾十個安全研究人員。蘋果說,隨著其成長,其漏洞賞金計劃將開放更多,如果任何非成員都會對蘋果公司進行重大發現接近蘋果,則將立即邀請研究人員加入該計劃。
關於公司為何要求邀請邀請其Bug Bounty計劃,該公司表示有必要防止偽造提交的洪水,並確保值得信賴的安全研究人員將獲得蘋果的必要支持。
程序中有五個類別可以在該程序中報告,該類別的最高獎勵最高為20萬美元,重點是通過突破安全的啟動固件組件來損害Apple的硬件的獎勵。這些漏洞是越獄利用的漏洞。
