很多年來(lái)，研究人員和白帽黑客們發(fā)現(xiàn)，跟蘋(píng)果報(bào)告漏洞，對(duì)方好像并沒(méi)有什么反應(yīng)，也就是說(shuō)，蘋(píng)果一直在悄悄地拒絕給漏洞報(bào)告人員支付獎(jiǎng)金。而這種做法今天終于要改變了。

蘋(píng)果安全主管伊萬(wàn)·克斯迪克（Ivan Krstic）在本周四的黑帽網(wǎng)絡(luò)安全大會(huì)上表示，該公司將向找到其軟件漏洞的研究人員支付最多20萬(wàn)美元的漏洞獎(jiǎng)金。很顯然蘋(píng)果內(nèi)部一直花了很多時(shí)間，將最優(yōu)秀的員工投入到漏洞修補(bǔ)上面，但是現(xiàn)在蘋(píng)果方面表示“找到漏洞越來(lái)越困難"。

這個(gè)獎(jiǎng)金雖然數(shù)目可觀，但對(duì)于以修補(bǔ)漏洞為生想要賺大錢(qián)的人來(lái)說(shuō)，并不是多大的數(shù)目。要知道，之前據(jù)報(bào)道FBI為了征集破解一個(gè)嫌疑犯的iPhone密碼，出價(jià)100萬(wàn)美元。

這個(gè)項(xiàng)目將在9月啟動(dòng)，有以下5種漏洞獎(jiǎng)勵(lì)類(lèi)別。

安全引導(dǎo)固件的漏洞：最高20萬(wàn)美元；

允許從安全區(qū)域提取機(jī)密文件的漏洞：最高10萬(wàn)美元；

以內(nèi)核權(quán)限執(zhí)行未經(jīng)認(rèn)證的惡意代碼漏洞：最高5萬(wàn)美元；

在蘋(píng)果服務(wù)器上獲取iCloud賬戶信息的漏洞：最高5萬(wàn)美元；

由一個(gè)沙箱進(jìn)程獲取沙箱以外用戶數(shù)據(jù)的漏洞：最高2.5萬(wàn)美元。

但是這個(gè)項(xiàng)目目前是“邀請(qǐng)制”的，也就是說(shuō)只對(duì)那些之前向蘋(píng)果報(bào)告過(guò)漏洞的研究人員開(kāi)放。之前蘋(píng)果咨詢了業(yè)內(nèi)已經(jīng)實(shí)施類(lèi)似項(xiàng)目的公司，意識(shí)到如果該項(xiàng)目完全對(duì)大眾開(kāi)放，會(huì)最終因?yàn)閳?bào)告的泛濫，而掩蓋了真正重要的高危漏洞。但是，蘋(píng)果表示也會(huì)慢慢把這個(gè)項(xiàng)目開(kāi)放給新的安全研究人員。

Via TC

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。