▲蘋果19日在官網發布新版漏洞懸賞計畫。(圖/路透社)
記者王曉敏/綜合報導
蘋果8月在黑帽大會(Black Hat)上承諾將擴大漏洞賞金計畫範圍,而日前該計畫終於在官網上發布了!根據蘋果發布的價目表,蘋果將分別為不同等級的漏洞提供最高10萬至100萬美元的獎金。
蘋果19日在官網發布新版漏洞懸賞計畫。此前,蘋果的漏洞賞金計畫僅限於iOS的漏洞,並限制可參與計畫的人員,不過今年8月,蘋果於黑帽大會上宣布將放寬懸賞計畫的範圍,並將獎金上限從原先的20萬美元增加至100萬美元。
據蘋果日前發布的賞金計畫,懸賞的範圍從原先的iOS擴大至iPadOS、macOS、tvOS、watchOS及iCloud。如若研究人員在beta版中發現漏洞,將可再額外獲得50%的獎金,這意味著,蘋果此番漏洞懸賞計畫的最高金額為150萬美元(約新台幣4500萬元)。
▼蘋果漏洞懸賞給付範例。(圖/取自蘋果官網)
蘋果指出,欲參與計畫的研究人員需具有標準配置的iOS、iPadOS、macOS、tvOS及watchOS的最新公共可用版本,發現的問題必須出現在最新推出的硬體設備上。研究人員需提交明確的報告才能獲得獎金,報告內容須包括:詳細說明問題、觸發情境的條件及步驟、需被回報的理由及足夠的資訊讓蘋果能重現問題。
蘋果表示,懸賞計畫的目標是透過了解漏洞及其利用技術來保護客戶。若報告內僅包含基本概念證明而非有效漏洞利用,則研究人員所獲獎金將不超過最高支付金額的50%,若報告內缺少必要資訊能讓蘋果有效地重現該問題,「則獎金的給付金額將大大減少。」
據科技網站ZDNet報導,Jamf首席安全研究員、蘋果安全專家Patrick Wardle表示,蘋果在發放獎金方面門檻很高, 「漏洞賞金計畫最大的挑戰之一即過濾掉所有低於標準的報告,並了解何者為真實、有效的漏洞及該漏洞可能帶來的影響。」因此要求漏洞利用是研究人員的責任,「這也將幫助蘋果迅速而全面地了解哪些漏洞應該被優先處理並修復。」
其他人也看了這些...
讀者迴響