很多年來，研究人員和白帽黑客們發(fā)現(xiàn)，跟蘋果報(bào)告漏洞，對方好像并沒有什么反應(yīng)，也就是說，蘋果一直在悄悄地拒絕給漏洞報(bào)告人員支付獎(jiǎng)金。而這種做法今天終于要改變了。

蘋果安全主管伊萬·克斯迪克（Ivan Krstic）在本周四的黑帽網(wǎng)絡(luò)安全大會上表示，該公司將向找到其軟件漏洞的研究人員支付最多20萬美元的漏洞獎(jiǎng)金。很顯然蘋果內(nèi)部一直花了很多時(shí)間，將最優(yōu)秀的員工投入到漏洞修補(bǔ)上面，但是現(xiàn)在蘋果方面表示“找到漏洞越來越困難"。

這個(gè)獎(jiǎng)金雖然數(shù)目可觀，但對于以修補(bǔ)漏洞為生想要賺大錢的人來說，并不是多大的數(shù)目。要知道，之前據(jù)報(bào)道FBI為了征集破解一個(gè)嫌疑犯的iPhone密碼，出價(jià)100萬美元。

這個(gè)項(xiàng)目將在9月啟動(dòng)，有以下5種漏洞獎(jiǎng)勵(lì)類別。

安全引導(dǎo)固件的漏洞：最高20萬美元；

允許從安全區(qū)域提取機(jī)密文件的漏洞：最高10萬美元；

以內(nèi)核權(quán)限執(zhí)行未經(jīng)認(rèn)證的惡意代碼漏洞：最高5萬美元；

在蘋果服務(wù)器上獲取iCloud賬戶信息的漏洞：最高5萬美元；

由一個(gè)沙箱進(jìn)程獲取沙箱以外用戶數(shù)據(jù)的漏洞：最高2.5萬美元。

但是這個(gè)項(xiàng)目目前是“邀請制”的，也就是說只對那些之前向蘋果報(bào)告過漏洞的研究人員開放。之前蘋果咨詢了業(yè)內(nèi)已經(jīng)實(shí)施類似項(xiàng)目的公司，意識到如果該項(xiàng)目完全對大眾開放，會最終因?yàn)閳?bào)告的泛濫，而掩蓋了真正重要的高危漏洞。但是，蘋果表示也會慢慢把這個(gè)項(xiàng)目開放給新的安全研究人員。

Via TC

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。