安全研究人員對蘋果漏洞賞金計劃表示不滿意
據《華盛頓郵報》報導,蘋果提供的漏洞賞金計劃(Bug Bounty Program),目標向發現和報告蘋果操作系統中關鍵漏洞的安全研究人員支付賞金,但研究人員對計劃的運作方式不滿意,因為蘋果提供的賞金遠遠不如其他科技公司。
《華盛頓郵報》在採訪二十多位安全研究人員時,收集了很多不滿的抱怨,比如蘋果修復漏洞的速度很慢,而且並不總是支付所欠的費用。
2020年,蘋果支付了370萬美元,大約是谷歌支付給研究人員的670萬美元的一半,遠遠低於微軟支付的1360萬美元。 Facebook、微軟和谷歌等其他公司突出介紹發現重大漏洞的安全研究人員,並舉行會議和提供資源以鼓勵廣泛的參與者,蘋果並沒有這樣做。
安全研究人員說,蘋果限制了對哪些漏洞將獲得賞金的反饋,而蘋果的前任和現任員工說,有 「大量積壓 」的漏洞尚未解決。
蘋果不願意對安全研究人員更加開放,這使一些研究人員不願意向蘋果提供安全漏洞,這些研究人員反而把它們賣給了政 府機構或提供駭客服務的公司等客戶。
蘋果公司安全工程和架構主管 Ivan Krstić 告訴《華盛頓郵報》,蘋果認為該計劃是成功的,與 2019 年相比,蘋果公司在 2020 年 支付的漏洞賞金數額翻了一番。 不過,蘋果仍在努力擴大該計劃的規模,並將在未來提供新的獎勵。
“我們還計劃為研究人員推出新的獎勵,以不斷擴大該計劃的參與度,我們還在繼續研究提供新的甚至更好的研究工具的路徑,以滿足我們嚴格的、行業領先的平臺安全模式。”
蘋果的漏洞賞金計劃承諾的獎勵從 10 萬美元到 100 萬美元不等,而且蘋果還為一些研究人員提供專門用於安全研究的特殊iPhone。 這些 iPhone 的鎖定程度比消費者設備低,旨在使安全漏洞和弱點更容易被發掘出來。