摘要:自Steve Jobs去世后,苹果并不常使用“one more thing”言论,不过在今年Black Hat 2016上,苹果正式推出宣布苹果安全奖励计划。 |
自Steve Jobs去世后,苹果并不常使用“one more thing”言论,不过在今年Black Hat 2016上,苹果正式推出宣布苹果安全奖励计划。
苹果安全工程和架构团队负责人Ivan Krsti称,现在苹果之所开始斥资重金是因为该公司已经让寻找关键漏洞变得更为困难。
“我们从苹果团队和其他研究人员那里直接了解到的是如今寻找一些最关键的安全漏洞已经变得十分困难,”Krsti表示,“因此,苹果安全奖励计划将会对那些真正地给苹果公司分享关键漏洞的研究人员进行奖励,同时我们会优先尽可能以最快的速度解决那些问题。”
苹果漏洞奖励计划涵盖五个类别——三个针对iOS的关键漏洞,一个针对未经授权获取苹果服务器上的iCloud数据,另一个则针对从沙箱进程到沙箱外用户数据的访问。
对iOS安全启动固件组件的漏洞奖励高达200,000美元;对从Secure Enclave处理器上提取机密材料达100,000美元;对内核权限/未经授权获取iCloud的恶意代码执行奖励达50,000美元;对从沙箱进程中获取用户数据奖励达25,000美元。
“我们认为如此的奖励与黑客黑进一些系统的难度相称,”Krsti称,且如果援救人员若将将近捐给慈善机构将会获得双倍的奖金。“同时,我所提及的都是最大额数,具体额数还要在工程团队看过提交的实际报告后再最终确定。”
届时苹果将为研究人员提供公开认证,除非另有要求,否则奖励将取决于如对用户造成的影响这类的因素。
该漏洞奖励计划将在9月正式实施,并制定一个邀请系统。苹果将邀请一些研究人员专事于此,并逐渐将项目开放,让外界的研究人员也能够提交关键漏洞,获取奖励,此外,这些研究人员也会被邀请进该项目中来。
责任编辑:DJ编辑