手机网站
手机网站
自从2016年上市以来,这个计划一直被打开。 现在已经超出了iOS的范围,还包括了苹果的其他操作系统。 苹果公司在今年8月的黑帽安全大会上首次公布了这一计划。 多个操作系统(如iCloud、iPadOS、macOS、tvOS和watchOS )注册到脆弱的悬赏列表中。
研究人员必须提供有关某些脆弱性的详细说明,并提供足够的详细信息以便苹果能够复制。
研究人员发现影响多个苹果平台的漏洞,尤其是当这些漏洞影响到最新的苹果设备和软件时,他们会获得最高的报酬。 在beta版中发现的脆弱性,研究人员在标准报酬的基础上获得奖金的50%。
这些潜在的利益是,通过发现可绕过设备锁定的漏洞,从25000美元获得100000美元的非法iCloud访问可以获得25,000美元到100,000美元的收入。从锁定设备中提取敏感数据可以获得1000美元
但是,对于研究者来说最有利的脆弱性就是用户什么都不做,就可以攻击和占领某个机器的脆弱性,即零点击攻击。 在这些情况下,获得奖金的要求非常严格,需要与报告一起提供完整的使用链( exploit chain )。
尽管从2016年开始实施,苹果脆弱悬赏计划仍然是这些科技巨头中利润最高的项目之一,但现在却像苹果竞争对手脆弱的悬赏项目一样公开。
该漏洞悬赏计划进一步普遍扩大可能包括若干安全缺陷,以应对iOS13中包括的大量漏洞。 据报道,为准备在2020年发布iOS 14,苹果改变了软件测试方法,配合谷歌、微软和其他公司隔离测试软件变化的方法。
作为修订计划的一部分,苹果公司宣布奖金捐赠与符合条件的慈善机构一致,并公开表彰提交有效报告的研究人员。
