手机网站
手机网站
苹果公司昨天公布了自家新的安全漏洞奖励计划。 和其他已经发表了同类奖励计划一样,所有安全研究者都可以直接向苹果政府提供大厅线索,或者直接公开报告利用大厅的方法接受奖励,只有到目前为止被邀请的安全研究者才能接受奖励。 另外,新的奖励计划复盖了所有苹果的操作系统,只有iOS的安全漏洞才能接受奖励。
苹果公司最近几年被称为最有病的,除了手机没有新意的更新,也许是他们的软件质量问题。 今年的iOS 13再次扩大了这个问题。 不仅是软件的品质,近年来苹果公司在安全研究者身上发现了安全漏洞。 新的一点是,由于Checkm8的脆弱性,底层的固件发生了问题,影响了数亿个设备。 有点旧的是绕过macOS上的root密码的脆弱性。
苹果公司每次更新其系统时都会发表关于安全性更新的说明,其中写有漏洞号码、说明、发现者/机构,但是这种简单的记名方式并不能让很多研究者向苹果公司报告漏洞,就像很多公司一样,他们发表了激励机制。 鼓励以金钱的方式向苹果报告脆弱性的个人/机构,奖金的数量还是较好的难易度较低的无许可访问最多给予10万美元的报酬,“无点击就可以在内核中注入代码,永远绕过内核PAC机制”这种超困难的操作苹果最多可以报酬100万美元
苹果希望通过这个奖励计划使他们的系统成为固定金汤之城,实现他们主张的高安全性标准。
