一項(xiàng)最新研究顯示，蘋(píng)果公司在其漏洞賞金計(jì)劃中，比三星公司多支付 5 倍的賞金。盡管如此，蘋(píng)果公司仍然面臨著研究人員的抱怨，一些人稱(chēng)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞給他們記功。

Atlas 進(jìn)行的研究顯示，蘋(píng)果公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元的賞金，而三星的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。

了解到，該研究發(fā)現(xiàn)華為也支付跟三星類(lèi)似數(shù)額的獎(jiǎng)金，在 200 美元到 22.4 萬(wàn)美元之間。其他安卓智能手機(jī)制造商，如小米、一加和 OPPO 的報(bào)酬也相對(duì)較低。小米公司的獎(jiǎng)金在 800 美元到 13000 美元之間，而一加和 OPPO 的獎(jiǎng)金為 7000 美元。

然而，似乎較高的報(bào)酬并沒(méi)有讓開(kāi)發(fā)者滿(mǎn)意。蘋(píng)果一直是研究人員批評(píng)的對(duì)象。他們指稱(chēng)，蘋(píng)果公司支付的賞金比承諾的少，有時(shí)甚至根本不支付，即使發(fā)現(xiàn)了零日漏洞。這些抱怨的聲音從 2017 年就有，蘋(píng)果公司在 2021 年為其漏洞賞金計(jì)劃聘請(qǐng)了一位新的負(fù)責(zé)人時(shí)，但抱怨并沒(méi)有停止。

一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中，蘋(píng)果所支付的賞金是三星的 5 倍多。 盡管如此，蘋(píng)果仍然面臨著研究人員的投訴，一些人說(shuō)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞記功。

Atlas VPN 進(jìn)行的研究顯示， 蘋(píng)果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元，而 三星 的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。另一方面， 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬(wàn)美元的報(bào)酬。

Atlas VPN說(shuō)，這些數(shù)據(jù)是基于公開(kāi)的信息，即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢(qián)。雖然蘋(píng)果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計(jì)劃并不是沒(méi)有爭(zhēng)議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問(wèn)題報(bào)酬過(guò)低。2021 年，蘋(píng)果公司聘請(qǐng)了一位新的領(lǐng)導(dǎo)人來(lái)改革其漏洞賞金計(jì)劃，因?yàn)榘踩芯咳藛T對(duì)它感到"厭煩"。據(jù)華盛頓郵報(bào)報(bào)道，蘋(píng)果公司提供了一個(gè)漏洞賞金計(jì)劃，旨在向發(fā)現(xiàn)和報(bào)告蘋(píng)果操作系統(tǒng)中關(guān)鍵錯(cuò)誤的安全研究人員支付報(bào)酬，但研究人員對(duì)該計(jì)劃的運(yùn)作方式、報(bào)酬等并不滿(mǎn)意。

據(jù)接受采訪的安二十多位安全研究人員表示，蘋(píng)果公司修復(fù)漏洞的速度很慢，而且并不是每次都支付了所欠的費(fèi)用。

2020 年，蘋(píng)果公司支付了 370 萬(wàn)美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬(wàn)美元的一半，遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬(wàn)美元。

安全研究人員表示，蘋(píng)果限制了對(duì)哪些漏洞將獲得賞金的反饋，而且蘋(píng)果的前任和現(xiàn)任員工說(shuō)，有一個(gè)“大量積壓”的漏洞尚未解決。

蘋(píng)果不愿意對(duì)安全研究人員采取更開(kāi)放的態(tài)度，這使一些研究人員不愿意向蘋(píng)果提供漏洞，這些研究人員反而把它們賣(mài)給了政府機(jī)構(gòu)或提供黑客服務(wù)的公司等客戶(hù)。

IT之家了解到，蘋(píng)果公司安全工程和架構(gòu)主管伊萬(wàn)-克里斯蒂奇表示，蘋(píng)果公司認(rèn)為該計(jì)劃是成功的，與 2019 年相比，蘋(píng)果公司在 2020 年支付的漏洞賞金數(shù)額翻了一番。不過(guò)，蘋(píng)果仍在努力擴(kuò)大漏洞計(jì)劃的規(guī)模，并將在未來(lái)提供新的獎(jiǎng)勵(lì)。

蘋(píng)果的漏洞賞金計(jì)劃承諾的獎(jiǎng)勵(lì)從 10 萬(wàn)美元到 100 萬(wàn)美元不等，而且蘋(píng)果還為一些研究人員提供專(zhuān)門(mén)用于安全研究的特殊 iPhone，這些 iPhone 的開(kāi)放程度比消費(fèi)者設(shè)備高，旨在使安全漏洞和弱點(diǎn)更容易被發(fā)掘出來(lái)。

Luta Security 的創(chuàng)始人 Katie Moussouris 表示，蘋(píng)果在安全界的不良聲譽(yù)在未來(lái)可能會(huì)導(dǎo)致“更不安全的產(chǎn)品”，并且產(chǎn)生“更多的成本”。

蘋(píng)果公司提供了一個(gè)漏洞賞金計(jì)劃，向發(fā)現(xiàn)和報(bào)告蘋(píng)果操作系統(tǒng)中存在關(guān)鍵錯(cuò)誤的安全人員支付一定報(bào)酬，然而這些研究人員卻表示，對(duì)蘋(píng)果的漏洞賞金計(jì)劃的運(yùn)作方式及報(bào)酬不滿(mǎn)意。

二十余位安全研究人員表示，蘋(píng)果公司修復(fù)非常慢，并且會(huì)拖欠部分費(fèi)用。2020 ，蘋(píng)果公司支付了 370 萬(wàn)美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬(wàn)美元的一半，遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬(wàn)美元。

安全研究人員表示，蘋(píng)果限制了對(duì)部分漏洞獲得獎(jiǎng)金的反饋，并且蘋(píng)果的前任和現(xiàn)任員工說(shuō)，有一個(gè)“大量積壓”的漏洞尚未解決。

蘋(píng)果這種態(tài)度致使一些安全研究人員不再愿意向蘋(píng)果提供漏洞，而是將這些漏洞賣(mài)給政府機(jī)構(gòu)以及其它黑客服務(wù)公司。蘋(píng)果目前在安全界的聲譽(yù)已經(jīng)嚴(yán)重了影響。

一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中，蘋(píng)果所支付的賞金是三星的 5 倍多。 盡管如此，蘋(píng)果仍然面臨著研究人員的投訴，一些人說(shuō)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞記功。

Atlas VPN 進(jìn)行的研究顯示， 蘋(píng)果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元，而 三星 的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。另一方面， 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬(wàn)美元的報(bào)酬。

Atlas VPN說(shuō)，這些數(shù)據(jù)是基于公開(kāi)的信息，即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢(qián)。雖然蘋(píng)果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計(jì)劃并不是沒(méi)有爭(zhēng)議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問(wèn)題報(bào)酬過(guò)低。2021 年，蘋(píng)果公司聘請(qǐng)了一位新的領(lǐng)導(dǎo)人來(lái)改革其漏洞賞金計(jì)劃，因?yàn)榘踩芯咳藛T對(duì)它感到"厭煩"。

蘋(píng)果安全工程主管 Ivan Krsti? 今天在拉斯維加斯舉行的黑帽大會(huì)上宣布，蘋(píng)果將升級(jí)漏洞懸賞計(jì)劃，除了 iOS 設(shè)備外，還會(huì)覆蓋 macOS、tvOS、watchOS 和 iCloud。

2016 年 8 月，蘋(píng)果正式推出適用于 iOS 設(shè)備的漏洞懸賞計(jì)劃，允許安全研究人員找到 iOS 漏洞，并向蘋(píng)果匯報(bào)，以獲得賞金。此前，非 iOS 設(shè)備并沒(méi)有懸賞計(jì)劃，這樣的操作也一直被安全社區(qū)批評(píng)。

今年早些時(shí)候，由于缺少 macOS 漏洞懸賞計(jì)劃，一位德國(guó)青少年拒絕向蘋(píng)果遞交 macOS 鑰匙串的重大安全漏洞。雖然最終他完成了漏洞遞交，但他表示希望蘋(píng)果能開(kāi)放 macOS 漏洞懸賞計(jì)劃。

除了 macOS 懸賞計(jì)劃外，蘋(píng)果還會(huì)提高賞金金額，從之前的每個(gè)漏洞 20 萬(wàn)美元提升至 100 萬(wàn)美元。此外，蘋(píng)果還會(huì)向研究人員提供“開(kāi)發(fā)版”iPhone，這是特殊版 iPhone，可以更深入地訪問(wèn)底層軟件和操作系統(tǒng)，從而更容易發(fā)現(xiàn)漏洞。