蘋(píng)果漏洞賞金計(jì)劃令研究人員對(duì)該計(jì)劃的運(yùn)作方式、報(bào)酬等并不滿(mǎn)意

9 月 10 日消息據(jù)華盛頓郵報(bào)報(bào)道，蘋(píng)果公司提供了一個(gè)漏洞賞金計(jì)劃，旨在向發(fā)現(xiàn)和報(bào)告蘋(píng)果操作系統(tǒng)中關(guān)鍵錯(cuò)誤的安全研究人員支付報(bào)酬，但研究人員對(duì)該計(jì)劃的運(yùn)作方式、報(bào)酬等并不滿(mǎn)意。

據(jù)接受采訪(fǎng)的安二十多位安全研究人員表示，蘋(píng)果公司修復(fù)漏洞的速度很慢，而且并不是每次都支付了所欠的費(fèi)用。

2020 年，蘋(píng)果公司支付了 370 萬(wàn)美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬(wàn)美元的一半，遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬(wàn)美元。

安全研究人員表示，蘋(píng)果限制了對(duì)哪些漏洞將獲得賞金的反饋，而且蘋(píng)果的前任和現(xiàn)任員工說(shuō)，有一個(gè)“大量積壓”的漏洞尚未解決。

蘋(píng)果不愿意對(duì)安全研究人員采取更開(kāi)放的態(tài)度，這使一些研究人員不愿意向蘋(píng)果提供漏洞，這些研究人員反而把它們賣(mài)給了政府機(jī)構(gòu)或提供黑客服務(wù)的公司等客戶(hù)。

IT之家了解到，蘋(píng)果公司安全工程和架構(gòu)主管伊萬(wàn)-克里斯蒂奇表示，蘋(píng)果公司認(rèn)為該計(jì)劃是成功的，與 2019 年相比，蘋(píng)果公司在 2020 年支付的漏洞賞金數(shù)額翻了一番。不過(guò)，蘋(píng)果仍在努力擴(kuò)大漏洞計(jì)劃的規(guī)模，并將在未來(lái)提供新的獎(jiǎng)勵(lì)。

蘋(píng)果的漏洞賞金計(jì)劃承諾的獎(jiǎng)勵(lì)從 10 萬(wàn)美元到 100 萬(wàn)美元不等，而且蘋(píng)果還為一些研究人員提供專(zhuān)門(mén)用于安全研究的特殊iPhone，這些 iPhone 的開(kāi)放程度比消費(fèi)者設(shè)備高，旨在使安全漏洞和弱點(diǎn)更容易被發(fā)掘出來(lái)。

Luta Security 的創(chuàng)始人 Katie Moussouris 表示，蘋(píng)果在安全界的不良聲譽(yù)在未來(lái)可能會(huì)導(dǎo)致“更不安全的產(chǎn)品”，并且產(chǎn)生“更多的成本”。

關(guān)鍵詞： 蘋(píng)果 漏洞賞金

責(zé)任編輯：Rex_01