苹果漏洞赏金计划(苹果向公众开放修改后的漏洞赏金计划)
苹果向所有安全研究人员开放了漏洞奖励计划,如果发现操作系统存在重大缺陷,将奖励100万美元或更多。
该计划自2016年推出以来一直被邀请开放,现在包括iOS以外的操作系统。在今年8月的黑帽大会上,苹果首次宣布将该程序向公众开放,iCloud、iPadOS、macOS、tvOS和watchOS将出现在漏洞赏金榜上。
研究人员必须提交问题的详细描述,并提供足够详细的信息,使苹果能够重现问题。
该计划为测试版中发现的错误提供50%的奖励。
顶层支出将用于研究是谁发现了影响多个苹果平台的bug,尤其是如果这些问题正在影响苹果的最新设备和软件。测试版中发现的任何错误除了标准奖金外,还将为研究人员提供50%的奖金。潜在成本:能绕过设备锁屏的研究人员,可以赚25000到100000美元;未经授权访问iCloud可能带来2.5万到10万美元的净利润;从锁定的设备中提取敏感数据的价值可能在100,000到250,000美元之间。
然而,对于研究人员来说,最有利可图的错误将是那些攻击和占领设备,但用户不采取任何行动的错误。所谓的零点击攻击。在这些情况下,收集赏金的要求非常严格,完整的利用链应随报告一起提交。
虽然苹果的漏洞奖励计划在2016年才实施,但它是科技巨头中最赚钱的计划之一,现在它已经加入了漏洞奖励已经向公众开放的竞争对手。
红利扩大的错误时机可能部分是由于非常有问题的iOS 13导致的许多问题,包括一些安全漏洞。彭博11月报道称,为了准备2020年iOS 14的发布,苹果改变了测试软件的方式,使其更符合谷歌、微软等公司隔离和测试其软件变化的方式。
作为修订计划的一部分,苹果表示,将把奖金捐赠与合格的慈善机构相匹配,并公开承认提交有效报告的研究人员。