很多年來，研究人員和白帽黑客們發(fā)現(xiàn)，跟蘋果報告漏洞，對方好像并沒有什么反應，也就是說，蘋果一直在悄悄地拒絕給漏洞報告人員支付獎金。而這種做法今天終于要改變了。

蘋果安全主管伊萬·克斯迪克（Ivan Krstic）在本周四的黑帽網(wǎng)絡安全大會上表示，該公司將向找到其軟件漏洞的研究人員支付最多20萬美元的漏洞獎金。很顯然蘋果內部一直花了很多時間，將最優(yōu)秀的員工投入到漏洞修補上面，但是現(xiàn)在蘋果方面表示“找到漏洞越來越困難"。

這個獎金雖然數(shù)目可觀，但對于以修補漏洞為生想要賺大錢的人來說，并不是多大的數(shù)目。要知道，之前據(jù)報道FBI為了征集破解一個嫌疑犯的iPhone密碼，出價100萬美元。

這個項目將在9月啟動，有以下5種漏洞獎勵類別。

安全引導固件的漏洞：最高20萬美元；

允許從安全區(qū)域提取機密文件的漏洞：最高10萬美元；

以內核權限執(zhí)行未經(jīng)認證的惡意代碼漏洞：最高5萬美元；

在蘋果服務器上獲取iCloud賬戶信息的漏洞：最高5萬美元；

由一個沙箱進程獲取沙箱以外用戶數(shù)據(jù)的漏洞：最高2.5萬美元。

但是這個項目目前是“邀請制”的，也就是說只對那些之前向蘋果報告過漏洞的研究人員開放。之前蘋果咨詢了業(yè)內已經(jīng)實施類似項目的公司，意識到如果該項目完全對大眾開放，會最終因為報告的泛濫，而掩蓋了真正重要的高危漏洞。但是，蘋果表示也會慢慢把這個項目開放給新的安全研究人員。

Via TC

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。