BUG 懸賞計(jì)劃中,蘋(píng)果所支付的賞金是三星的 5 倍多
一項(xiàng)最新研究顯示,蘋(píng)果公司在其漏洞賞金計(jì)劃中,比三星公司多支付 5 倍的賞金。盡管如此,蘋(píng)果公司仍然面臨著研究人員的抱怨,一些人稱(chēng)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞給他們記功。
Atlas 進(jìn)行的研究顯示,蘋(píng)果公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元的賞金,而三星的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。
了解到,該研究發(fā)現(xiàn)華為也支付跟三星類(lèi)似數(shù)額的獎(jiǎng)金,在 200 美元到 22.4 萬(wàn)美元之間。其他安卓智能手機(jī)制造商,如小米、一加和 OPPO 的報(bào)酬也相對(duì)較低。小米公司的獎(jiǎng)金在 800 美元到 13000 美元之間,而一加和 OPPO 的獎(jiǎng)金為 7000 美元。
然而,似乎較高的報(bào)酬并沒(méi)有讓開(kāi)發(fā)者滿(mǎn)意。蘋(píng)果一直是研究人員批評(píng)的對(duì)象。他們指稱(chēng),蘋(píng)果公司支付的賞金比承諾的少,有時(shí)甚至根本不支付,即使發(fā)現(xiàn)了零日漏洞。這些抱怨的聲音從 2017 年就有,蘋(píng)果公司在 2021 年為其漏洞賞金計(jì)劃聘請(qǐng)了一位新的負(fù)責(zé)人時(shí),但抱怨并沒(méi)有停止。
一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中,蘋(píng)果所支付的賞金是三星的 5 倍多。 盡管如此,蘋(píng)果仍然面臨著研究人員的投訴,一些人說(shuō)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞記功。
Atlas VPN 進(jìn)行的研究顯示, 蘋(píng)果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元,而 三星 的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。另一方面, 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬(wàn)美元的報(bào)酬。
Atlas VPN說(shuō),這些數(shù)據(jù)是基于公開(kāi)的信息,即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢(qián)。雖然蘋(píng)果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好,但其漏洞賞金計(jì)劃并不是沒(méi)有爭(zhēng)議的。2017 年,研究人員抱怨發(fā)現(xiàn)的問(wèn)題報(bào)酬過(guò)低。2021 年,蘋(píng)果公司聘請(qǐng)了一位新的領(lǐng)導(dǎo)人來(lái)改革其漏洞賞金計(jì)劃,因?yàn)榘踩芯咳藛T對(duì)它感到"厭煩"。據(jù)華盛頓郵報(bào)報(bào)道,蘋(píng)果公司提供了一個(gè)漏洞賞金計(jì)劃,旨在向發(fā)現(xiàn)和報(bào)告蘋(píng)果操作系統(tǒng)中關(guān)鍵錯(cuò)誤的安全研究人員支付報(bào)酬,但研究人員對(duì)該計(jì)劃的運(yùn)作方式、報(bào)酬等并不滿(mǎn)意。
據(jù)接受采訪的安二十多位安全研究人員表示,蘋(píng)果公司修復(fù)漏洞的速度很慢,而且并不是每次都支付了所欠的費(fèi)用。
2020 年,蘋(píng)果公司支付了 370 萬(wàn)美元給漏洞發(fā)現(xiàn)者,大約是谷歌支付給研究人員的 670 萬(wàn)美元的一半,遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬(wàn)美元。
安全研究人員表示,蘋(píng)果限制了對(duì)哪些漏洞將獲得賞金的反饋,而且蘋(píng)果的前任和現(xiàn)任員工說(shuō),有一個(gè)“大量積壓”的漏洞尚未解決。
蘋(píng)果不愿意對(duì)安全研究人員采取更開(kāi)放的態(tài)度,這使一些研究人員不愿意向蘋(píng)果提供漏洞,這些研究人員反而把它們賣(mài)給了政府機(jī)構(gòu)或提供黑客服務(wù)的公司等客戶(hù)。
IT之家了解到,蘋(píng)果公司安全工程和架構(gòu)主管伊萬(wàn)-克里斯蒂奇表示,蘋(píng)果公司認(rèn)為該計(jì)劃是成功的,與 2019 年相比,蘋(píng)果公司在 2020 年支付的漏洞賞金數(shù)額翻了一番。不過(guò),蘋(píng)果仍在努力擴(kuò)大漏洞計(jì)劃的規(guī)模,并將在未來(lái)提供新的獎(jiǎng)勵(lì)。
蘋(píng)果的漏洞賞金計(jì)劃承諾的獎(jiǎng)勵(lì)從 10 萬(wàn)美元到 100 萬(wàn)美元不等,而且蘋(píng)果還為一些研究人員提供專(zhuān)門(mén)用于安全研究的特殊 iPhone,這些 iPhone 的開(kāi)放程度比消費(fèi)者設(shè)備高,旨在使安全漏洞和弱點(diǎn)更容易被發(fā)掘出來(lái)。
Luta Security 的創(chuàng)始人 Katie Moussouris 表示,蘋(píng)果在安全界的不良聲譽(yù)在未來(lái)可能會(huì)導(dǎo)致“更不安全的產(chǎn)品”,并且產(chǎn)生“更多的成本”。
蘋(píng)果公司提供了一個(gè)漏洞賞金計(jì)劃,向發(fā)現(xiàn)和報(bào)告蘋(píng)果操作系統(tǒng)中存在關(guān)鍵錯(cuò)誤的安全人員支付一定報(bào)酬,然而這些研究人員卻表示,對(duì)蘋(píng)果的漏洞賞金計(jì)劃的運(yùn)作方式及報(bào)酬不滿(mǎn)意。
二十余位安全研究人員表示,蘋(píng)果公司修復(fù)非常慢,并且會(huì)拖欠部分費(fèi)用。2020 ,蘋(píng)果公司支付了 370 萬(wàn)美元給漏洞發(fā)現(xiàn)者,大約是谷歌支付給研究人員的 670 萬(wàn)美元的一半,遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬(wàn)美元。
安全研究人員表示,蘋(píng)果限制了對(duì)部分漏洞獲得獎(jiǎng)金的反饋,并且蘋(píng)果的前任和現(xiàn)任員工說(shuō),有一個(gè)“大量積壓”的漏洞尚未解決。
蘋(píng)果這種態(tài)度致使一些安全研究人員不再愿意向蘋(píng)果提供漏洞,而是將這些漏洞賣(mài)給政府機(jī)構(gòu)以及其它黑客服務(wù)公司。蘋(píng)果目前在安全界的聲譽(yù)已經(jīng)嚴(yán)重了影響。
一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中,蘋(píng)果所支付的賞金是三星的 5 倍多。 盡管如此,蘋(píng)果仍然面臨著研究人員的投訴,一些人說(shuō)蘋(píng)果沒(méi)有為報(bào)告的零日漏洞記功。
Atlas VPN 進(jìn)行的研究顯示, 蘋(píng)果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬(wàn)至 100 萬(wàn)美元,而 三星 的漏洞賞金計(jì)劃對(duì)合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬(wàn)美元。另一方面, 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬(wàn)美元的報(bào)酬。
Atlas VPN說(shuō),這些數(shù)據(jù)是基于公開(kāi)的信息,即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢(qián)。雖然蘋(píng)果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好,但其漏洞賞金計(jì)劃并不是沒(méi)有爭(zhēng)議的。2017 年,研究人員抱怨發(fā)現(xiàn)的問(wèn)題報(bào)酬過(guò)低。2021 年,蘋(píng)果公司聘請(qǐng)了一位新的領(lǐng)導(dǎo)人來(lái)改革其漏洞賞金計(jì)劃,因?yàn)榘踩芯咳藛T對(duì)它感到"厭煩"。
蘋(píng)果安全工程主管 Ivan Krsti? 今天在拉斯維加斯舉行的黑帽大會(huì)上宣布,蘋(píng)果將升級(jí)漏洞懸賞計(jì)劃,除了 iOS 設(shè)備外,還會(huì)覆蓋 macOS、tvOS、watchOS 和 iCloud。
2016 年 8 月,蘋(píng)果正式推出適用于 iOS 設(shè)備的漏洞懸賞計(jì)劃,允許安全研究人員找到 iOS 漏洞,并向蘋(píng)果匯報(bào),以獲得賞金。此前,非 iOS 設(shè)備并沒(méi)有懸賞計(jì)劃,這樣的操作也一直被安全社區(qū)批評(píng)。
今年早些時(shí)候,由于缺少 macOS 漏洞懸賞計(jì)劃,一位德國(guó)青少年拒絕向蘋(píng)果遞交 macOS 鑰匙串的重大安全漏洞。雖然最終他完成了漏洞遞交,但他表示希望蘋(píng)果能開(kāi)放 macOS 漏洞懸賞計(jì)劃。
除了 macOS 懸賞計(jì)劃外,蘋(píng)果還會(huì)提高賞金金額,從之前的每個(gè)漏洞 20 萬(wàn)美元提升至 100 萬(wàn)美元。此外,蘋(píng)果還會(huì)向研究人員提供“開(kāi)發(fā)版”iPhone,這是特殊版 iPhone,可以更深入地訪問(wèn)底層軟件和操作系統(tǒng),從而更容易發(fā)現(xiàn)漏洞。