安全研究人员对苹果漏洞赏金计划表示不满意

摘要:

据《华盛顿邮报》报道,苹果提供的漏洞赏金计划(Bug Bounty Program),目标向发现和报告苹果操作系统中关键漏洞的安全研究人员支付赏金,但研究人员对计划的运作方式不满意,因为苹果提供的赏金远远不如其他科技公司。

《华盛顿邮报》在采访二十多位安全研究人员时,收集了很多不满的抱怨,比如苹果修复漏洞的速度很慢,而且并不总是支付所欠的费用。

2020年,苹果支付了 370 万美元,大约是谷歌支付给研究人员的 670 万美元的一半,远远低于微软支付的 1360万美元。Facebook、微软和谷歌等其他公司突出介绍发现重大漏洞的安全研究人员,并举行会议和提供资源以鼓励广泛的参与者,苹果并没有这样做。

安全研究人员说,苹果限制了对哪些漏洞将获得赏金的反馈,而苹果的前任和现任员工说,有 "大量积压 "的漏洞尚未解决。

苹果不愿意对安全研究人员更加开放,这使一些研究人员不愿意向苹果提供安全漏洞,这些研究人员反而把它们卖给了政 府机构或提供黑客服务的公司等客户。

苹果公司安全工程和架构主管   Ivan Krstić 告诉《华盛顿邮报》,苹果认为该计划是成功的,与 2019 年相比,苹果公司在 2020年 支付的漏洞赏金数额翻了一番。不过,苹果仍在努力扩大该计划的规模,并将在未来提供新的奖励。

"我们还计划为研究人员推出新的奖励,以不断扩大该计划的参与度,我们还在继续研究提供新的甚至更好的研究工具的路径,以满足我们严格的、行业领先的平台安全模式。"

苹果的漏洞赏金计划承诺的奖励从 10 万美元到 100 万美元不等,而且苹果还为一些研究人员提供专门用于安全研究的特殊 iPhone。这些 iPhone 的锁定程度比消费者设备低,旨在使安全漏洞和弱点更容易被发掘出来。

查看评论
created by ceallan