经过多年不愿付出研究者漏洞,苹果已经给出,并准备出手了长达我们在iOS的最新版本和最新的iPhone手机中发现严重漏洞$ 200,000。
苹果宣布计划22日在拉斯维加斯举行的黑帽安全会议。它从9月份开始,而不像其他大型科技公司经营的奖金方案将只邀请。
程序将开始与几十个研究人员精心挑选的苹果,虽然任何外人谁提交一个缺陷,有资格可以获得奖励和被邀请加入这个项目,说伊万Krstić,苹果公司的负责人安全工程和建筑。
“这并不意味着是一个排外的俱乐部,”他说。
苹果公司表示,它愿意为谁捐出自己的奖励给慈善机构研究人员的支出增加一倍。
信息安全公司Securosis的首席执行官Rich Mogull,指出错误赏金程序可以有缺点,并说这是不是苹果一定要做的。但他表示,这是一个良好的开端,苹果的东西可以从中受益。
有些公司“不真正想进入与政府和资金雄厚的犯罪组织,其中一些是愿意支付可能高达某些漏洞一百万美元的竞购战,” Mogull在说博客文章。
公开的错误赏金程序也能产生大量的噪音,在低质量报告不一定导致错误修复的形式,但仍然消耗工程资源来调查,他说。
Mogull认为苹果公司的计划的重点是质量而不是数量,并有一个明确的目标:找到被认为是一个高优先级的iOS的关键领域利用的bug。这也迫使研究人员证明他们有证据的概念工作漏洞发现任何缺陷的影响。这是难度比单纯提交错误,可能是至关重要的,并把它留给公司调查。
苹果将支付高达关键漏洞$ 200,000的安全引导固件组件,高达$ 100,000的漏洞,可以从安全区域处理器提取机密材料 - 安全芯片执行加密操作在iPhone 5S,后来,$ 50,000的bug可以导致任意代码执行内核的特权,想方设法在苹果的服务器访问iCloud帐户数据$ 50,000未经授权,并为到沙盒的用户数据之外提供从沙盒进程中访问漏洞$ 25,000。
这赏金结构反映发现每个五种类型缺陷的难度,蒂奇说。
苹果与安全界的关系并非一直都很好。尽管许多研究人员承认苹果产品的安全性很好,但它经常因为在安全问题上的沟通方式或沟通不够而受到批评。苹果也是最后几家推出安全奖励计划的大公司之一。
漏洞,可以完全破坏的iOS命令的一些水货市场上的最高价格。当iOS版9出来后,一个利用经纪人谁是它的客户中政府统计机构提供的$ 1百万的基于浏览器的越狱 - 一个漏洞,可以简单地通过访问网站获取到iOS的root访问权限。联邦调查局(FBI)也买了一款iOS黑客利用,以获取对赛义德Farook,圣贝纳迪诺的射手之一的锁定iPhone的数据。
提问者在黑帽观众为什么苹果等了这么久推出的赏金计划,科斯蒂奇表示,该公司已经从研究人员透露,发现严重漏洞越来越困难,而且要奖励那些谁花时间去做。
相关视频: