提供更多的钱给熟练的缺陷发现者
苹果公司向公众开放了其有利可图的漏洞赏金计划。
这程序- 以前仅限于选择(被邀请)很少的人 - 现在向每个能够在MacOS,iOS,TVOS,WatchOS或iCloud中找到错误的人开放。
在发布Apple技术的Beta版本和Beta版本中发生错误的情况下,最严重的漏洞类别有资格获得高达100万美元或更多的支出。支出规模取决于利用链的复杂性和严重性,但最高可达150万美元。
最大的薪水将来自确认的网络攻击,而没有用户互动,尽管苹果的安全预防措施,但可以实现目标设备的持续感染。
较低但仍然很大的付费将来自发现需要用户交互的网络攻击($ 150k- $ 250k),通过用户安装的应用程序($ 100K- $ 250K)的设备攻击以及通过物理访问的设备攻击(锁定屏幕旁路,$ 10万美元;允许用户数据提取的漏洞,$ 250K)。
允许未经授权访问Apple服务器的iCloud帐户数据的错误将获得高达10万美元的赏金猎人。
为了获得付款资格,研究人员需要在设置的设备中找到“标准配置以及相关的最新公开可用硬件”的错误。
阅读《每日Swig》中的更多漏洞赏金新闻beplay2018官网
苹果解释说:“苹果未知的问题是指定开发人员Beta和公共BETA所独有的,包括回归,可能会导致50%的奖金付款。”
“即使不符合已发布的赏金类别,也将考虑所有对用户产生重大影响的安全问题,即使它们不符合已发布的赏金类别。
“苹果安全赏金付款是由苹果自行决定的。”
Bug Hunters需要成为第一个告诉苹果有关此问题的人 - 并公开公开了解他们的发现,直到Apple公开发布安全咨询,才能获得支出。
苹果警告说:“包括基本概念证明而不是工作利用的报告有资格获得最高支付金额的50%。”
苹果的伊万·克斯蒂奇(IvanKrstić)上个月落后于新宣布的计划说在Twitter上,一项iOS安全研究设备计划被吹捧为“一个前所未有的,由苹果的人才研究平台为才华横溢的研究人员”。
苹果向那些提交有效报告的研究人员提供公众认可,并将赏金付款的捐款与指定的捐款相匹配合格的慈善机构。
Bug Hunters的反应(主要)是积极的,有些将Apple的奖励与可比计划中提供的较少的支出进行了比较。
“为什么我决定专注于微软而不是苹果。Windows Zeroclick的Bug Bounty为$ 30K,”说Marcus Hutchins在Twitter更新中。
安全研究人员thegrugq是更加谨慎:“实际上有人为他们提交的任何Apple Bug赏金报酬吗?”
臭虫先驱凯蒂·穆苏里斯(Katie Moussouris)警告上个月,Apple和Google提供的高额支出可能会带来意想不到的后果,这使供应商更难保留安全技能的软件开发人员。
她警告说:“外部研究价格提出了保留和招募旨在防止缺陷的内部人才的问题。”她补充说,供应商计划永远无法跟上黑市中提供的计划。
