点击关闭

公布-苹果开始为发现iOS系统未知漏洞的安全研究员提供奖金-平乡新闻

  • 时间:

施华洛世奇道歉

Apple TV、Apple Watch和Mac的用戶也會從這次漏洞懸賞項目中獲益,以往懸賞的範圍主要在蘋果iPhone和iPad上。今年二月,德國安全研究員Linus Henze批評了蘋果不為Mac的漏洞提供獎金,並公開了一個重要的Mac密碼保護漏洞。谷歌的Project Zero項目也參与了這一話題,它表示蘋果連續數個月沒有修復Mac的重要問題,這無疑是在拿用戶的安全去冒險。

對於蘋果而言,之前的懸賞金額不高,導致一些安全研究員寧可將發現的漏洞販賣給私人組織——例如Grayshift和Cellebrite,最終這些組織會通過蘋果設備的漏洞來盈利。為了鼓勵主動舉報漏洞,如果能在測試版(而非正式發佈版)中發現問題,蘋果還會再增加50%的額外獎勵。明年,蘋果還會為部分「可靠且經過審核」 的研究員提供預先越獄的iPhone,讓他們尋找其中的安全薄弱點。

大約在三年前,蘋果開始為發現iOS系統未知漏洞的安全研究員提供獎金。近日,它宣布將macOS、watchOS和tvOS等操作系統的設備也加入懸賞項目。除此之外,如果研究員發現了特別重要的安全問題,那麼這家公司將提供最高100萬美元的獎金,相比將漏洞留在自己手裡,這份巨額獎金應該更有吸引力。

今年,由於iPhone和Apple Watch的漏洞,蘋果已經連續兩次限制FaceTime的訪問,這些漏洞可能會泄露用戶的隱私,呼叫者可以竊聽未接聽FaceTime的設備。研究員還發現Mac的英特爾芯片和macOS的應用白名單系統存在安全問題。

近日,蘋果於拉斯維加斯的年度黑帽安全大會上公布了這一消息,公司安全開發人員Ivan Krsti公布了漏洞懸賞項目的最新變化。之前出現的「零點擊攻擊」只需要知道用戶的手機號碼就能完全操作他的iPhone內核,只要能夠舉報這個級別的漏洞,那麼就能獲得蘋果提供的100萬美元獎金——之前這類漏洞還只獎勵20萬美元。當然如果發現的漏洞沒那麼嚴重,獎金的數額也會適當減少。

今日关键词:哪吒将在北美上映