在拉斯维加斯举行的Black Hat网络安全会议上,苹果发布了一个漏洞赏金计划,该计划将奖励安全研究人员发现和报告他们在公司产品和服务上发现的漏洞。
Apple的Bug Bounty计划将于9月推出,这是该公司首次明确提供现金奖励以换取有关漏洞的信息。
苹果是科技行业中的最后一个启动Bug Bounty计划的知名人士之一。尽管Facebook,Google和Microsoft等主要参与者已经制定了多年的计划,但Apple以前曾依靠其内部安全团队以及与安全研究人员的非正式关系,而Tip Line则维持了报告问题。
该程序,是揭开了苹果安全负责人Ivan Krstic的奖金将为报告的虫子支付高达20万美元的赏金。奖励的目的与其他漏洞赏金计划类似,是要让安全研究人员告诉苹果他们发现的任何漏洞,而不是向黑客群体或政府出售信息。
最终启动漏洞赏金计划的决定可能与苹果与美国司法部最近的法律斗争有关。苹果拒绝为了帮助政府创建一个后门来加密iPhone 5C,该iPhone 5C在去年的San Bernardino事件中使用了其中一名射击者,因为可以在所有其他iPhone上使用解决方法,从而冒着所有Apple设备使用者的安全性。
政府没有留在法庭上,而是决定转向第三方网络安全研究小组,该小组能够利用iOS 9中先前未报告的问题。该小组能够破解iPhone 5C的加密,据报道政府已有有薪酬的黑客工具超过100万美元。
根据网络安全研究公司Securisosios首席执行官Rich Mogull的说法,苹果本可以通过较早启动Bug Bounty计划来防止这种情况展开。但是,他补充说,该公司可能无法超过任何政府或集团愿意为破坏苹果数字防御的工具支付100万美元的政府或团体。
尽管如此,一个漏洞赏金计划总比没有好,因为可以将更多的漏洞报告给苹果,而不是简单地漂浮,等待被不良意图的黑客发现和利用。
但是,该程序当前是邀请,只有几十个安全研究人员。苹果说,随着其成长,其漏洞赏金计划将开放更多,如果任何非成员都会对苹果公司进行重大发现接近苹果,则将立即邀请研究人员加入该计划。
关于公司为何要求邀请其漏洞赏金计划的邀请,该公司表示有必要防止伪造提交的洪水,并确保值得信赖的安全研究人员将获得苹果的必要支持。
程序中有五个类别可以在该程序中报告,该类别的最高奖励最高为20万美元,重点是通过突破安全的启动固件组件来损害Apple的硬件的奖励。这些漏洞是越狱利用的漏洞。
