BUG 懸賞計(jì)劃中，蘋果所支付的賞金是三星的 5 倍多

一項(xiàng)最新研究顯示，蘋果公司在其漏洞賞金計(jì)劃中，比三星公司多支付 5 倍的賞金。盡管如此，蘋果公司仍然面臨著研究人員的抱怨，一些人稱蘋果沒有為報(bào)告的零日漏洞給他們記功。

Atlas 進(jìn)行的研究顯示，蘋果公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元的賞金，而三星的漏洞賞金計(jì)劃對合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬美元。

了解到，該研究發(fā)現(xiàn)華為也支付跟三星類似數(shù)額的獎(jiǎng)金，在 200 美元到 22.4 萬美元之間。其他安卓智能手機(jī)制造商，如小米、一加和 OPPO 的報(bào)酬也相對較低。小米公司的獎(jiǎng)金在 800 美元到 13000 美元之間，而一加和 OPPO 的獎(jiǎng)金為 7000 美元。

然而，似乎較高的報(bào)酬并沒有讓開發(fā)者滿意。蘋果一直是研究人員批評(píng)的對象。他們指稱，蘋果公司支付的賞金比承諾的少，有時(shí)甚至根本不支付，即使發(fā)現(xiàn)了零日漏洞。這些抱怨的聲音從 2017 年就有，蘋果公司在 2021 年為其漏洞賞金計(jì)劃聘請了一位新的負(fù)責(zé)人時(shí)，但抱怨并沒有停止。

一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中，蘋果所支付的賞金是三星的 5 倍多。 盡管如此，蘋果仍然面臨著研究人員的投訴，一些人說蘋果沒有為報(bào)告的零日漏洞記功。

Atlas VPN 進(jìn)行的研究顯示， 蘋果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元，而 三星 的漏洞賞金計(jì)劃對合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬美元。另一方面， 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬美元的報(bào)酬。

Atlas VPN說，這些數(shù)據(jù)是基于公開的信息，即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢。雖然蘋果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計(jì)劃并不是沒有爭議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問題報(bào)酬過低。2021 年，蘋果公司聘請了一位新的領(lǐng)導(dǎo)人來改革其漏洞賞金計(jì)劃，因?yàn)榘踩芯咳藛T對它感到"厭煩"。據(jù)華盛頓郵報(bào)報(bào)道，蘋果公司提供了一個(gè)漏洞賞金計(jì)劃，旨在向發(fā)現(xiàn)和報(bào)告蘋果操作系統(tǒng)中關(guān)鍵錯(cuò)誤的安全研究人員支付報(bào)酬，但研究人員對該計(jì)劃的運(yùn)作方式、報(bào)酬等并不滿意。

據(jù)接受采訪的安二十多位安全研究人員表示，蘋果公司修復(fù)漏洞的速度很慢，而且并不是每次都支付了所欠的費(fèi)用。

2020 年，蘋果公司支付了 370 萬美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬美元的一半，遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬美元。

安全研究人員表示，蘋果限制了對哪些漏洞將獲得賞金的反饋，而且蘋果的前任和現(xiàn)任員工說，有一個(gè)“大量積壓”的漏洞尚未解決。

蘋果不愿意對安全研究人員采取更開放的態(tài)度，這使一些研究人員不愿意向蘋果提供漏洞，這些研究人員反而把它們賣給了政府機(jī)構(gòu)或提供黑客服務(wù)的公司等客戶。

IT之家了解到，蘋果公司安全工程和架構(gòu)主管伊萬-克里斯蒂奇表示，蘋果公司認(rèn)為該計(jì)劃是成功的，與 2019 年相比，蘋果公司在 2020 年支付的漏洞賞金數(shù)額翻了一番。不過，蘋果仍在努力擴(kuò)大漏洞計(jì)劃的規(guī)模，并將在未來提供新的獎(jiǎng)勵(lì)。

蘋果的漏洞賞金計(jì)劃承諾的獎(jiǎng)勵(lì)從 10 萬美元到 100 萬美元不等，而且蘋果還為一些研究人員提供專門用于安全研究的特殊 iPhone，這些 iPhone 的開放程度比消費(fèi)者設(shè)備高，旨在使安全漏洞和弱點(diǎn)更容易被發(fā)掘出來。

Luta Security 的創(chuàng)始人 Katie Moussouris 表示，蘋果在安全界的不良聲譽(yù)在未來可能會(huì)導(dǎo)致“更不安全的產(chǎn)品”，并且產(chǎn)生“更多的成本”。

蘋果公司提供了一個(gè)漏洞賞金計(jì)劃，向發(fā)現(xiàn)和報(bào)告蘋果操作系統(tǒng)中存在關(guān)鍵錯(cuò)誤的安全人員支付一定報(bào)酬，然而這些研究人員卻表示，對蘋果的漏洞賞金計(jì)劃的運(yùn)作方式及報(bào)酬不滿意。

二十余位安全研究人員表示，蘋果公司修復(fù)非常慢，并且會(huì)拖欠部分費(fèi)用。2020 ，蘋果公司支付了 370 萬美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬美元的一半，遠(yuǎn)遠(yuǎn)低于微軟支付的 1360 萬美元。

安全研究人員表示，蘋果限制了對部分漏洞獲得獎(jiǎng)金的反饋，并且蘋果的前任和現(xiàn)任員工說，有一個(gè)“大量積壓”的漏洞尚未解決。

蘋果這種態(tài)度致使一些安全研究人員不再愿意向蘋果提供漏洞，而是將這些漏洞賣給政府機(jī)構(gòu)以及其它黑客服務(wù)公司。蘋果目前在安全界的聲譽(yù)已經(jīng)嚴(yán)重了影響。

一項(xiàng)新研究表明在 BUG 懸賞計(jì)劃中，蘋果所支付的賞金是三星的 5 倍多。 盡管如此，蘋果仍然面臨著研究人員的投訴，一些人說蘋果沒有為報(bào)告的零日漏洞記功。

Atlas VPN 進(jìn)行的研究顯示， 蘋果 公司向在其服務(wù)中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元，而 三星 的漏洞賞金計(jì)劃對合格的漏洞獎(jiǎng)勵(lì)研究人員 200 至 20 萬美元。另一方面， 華為 為其設(shè)備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬美元的報(bào)酬。

Atlas VPN說，這些數(shù)據(jù)是基于公開的信息，即最重要的 手機(jī) 和其他電子產(chǎn)品制造公司為其設(shè)備中發(fā)現(xiàn)的漏洞支付多少錢。雖然蘋果公司支付的費(fèi)用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計(jì)劃并不是沒有爭議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問題報(bào)酬過低。2021 年，蘋果公司聘請了一位新的領(lǐng)導(dǎo)人來改革其漏洞賞金計(jì)劃，因?yàn)榘踩芯咳藛T對它感到"厭煩"。

蘋果安全工程主管 Ivan Krsti? 今天在拉斯維加斯舉行的黑帽大會(huì)上宣布，蘋果將升級(jí)漏洞懸賞計(jì)劃，除了 iOS 設(shè)備外，還會(huì)覆蓋 macOS、tvOS、watchOS 和 iCloud。

2016 年 8 月，蘋果正式推出適用于 iOS 設(shè)備的漏洞懸賞計(jì)劃，允許安全研究人員找到 iOS 漏洞，并向蘋果匯報(bào)，以獲得賞金。此前，非 iOS 設(shè)備并沒有懸賞計(jì)劃，這樣的操作也一直被安全社區(qū)批評(píng)。

今年早些時(shí)候，由于缺少 macOS 漏洞懸賞計(jì)劃，一位德國青少年拒絕向蘋果遞交 macOS 鑰匙串的重大安全漏洞。雖然最終他完成了漏洞遞交，但他表示希望蘋果能開放 macOS 漏洞懸賞計(jì)劃。

除了 macOS 懸賞計(jì)劃外，蘋果還會(huì)提高賞金金額，從之前的每個(gè)漏洞 20 萬美元提升至 100 萬美元。此外，蘋果還會(huì)向研究人員提供“開發(fā)版”iPhone，這是特殊版 iPhone，可以更深入地訪問底層軟件和操作系統(tǒng)，從而更容易發(fā)現(xiàn)漏洞。