一名男子在使用iPhone
北京时间8月5日消息,据路透社报道,苹果周四宣布,对于在其产品中发现重大安全漏洞的研究人员,公司计划向他们提供最高20万美元的现金奖励。此举也使得苹果加入了另外几十家公司的行列,向协助发现产品安全漏洞的研究人员提供奖励。
苹果在周四下午举行的黑帽网络安全大会上公布了这一漏洞奖励项目。在此之前,苹果已经向路透社提供了项目细节,包括苹果迄今为止所提供的最大奖励。
不过,该项目初期只限于苹果邀请的大约24位研究人员。苹果邀请他们协助找出五大具体类别中的难以发现的安全漏洞。苹果称,这些研究人员从一批专家中选出,后者此前曾协助苹果确认漏洞,但没有获得补偿。
苹果奖励最高的一类漏洞是“安全启动”固件中的漏洞,最高达到20万美元。在iOS设备启动时,“安全启动”固件能够阻止未授权程序启动。
苹果称,在听取了其他已推出漏洞奖励项目的公司建议后,他们决定限制项目的规模。这些公司称,如果他们能重新来过,会首先邀请少量研究人员加入,然后逐渐扩大到更多研究人员。
安全分析师里克·莫古尔(Rich Mogull)表示,限制研究人员数量能够使得苹果不必处理大量“低价值”漏洞报告。“完全开放项目肯定会耗费苹果大量资源进行管理,”他表示。
苹果拒绝披露哪些公司为其提供了建议。
目前,已有几十家公司建立了类似的漏洞奖励项目,包括AT&T、Facebook、谷歌、微软、特斯拉以及雅虎。
自从三年前建立漏洞奖励项目以来,微软已经向安全研究人员提供了150万美元现金奖励。微软还向发现极其特殊类型漏洞的研究人员提供奖励。目前为止,微软的两笔最大奖励均为10万美元。
不过,并不是所有奖励项目都像苹果、微软的那样专注于具体类别。例如,Facebook的奖励项目就非常开放,为一系列漏洞提供奖励。过去5年,Facebook总共向研究人员提供了400多万美元现金奖励,去年平均每笔奖励金额为1780美元。
今年3月,Facebook向芬兰的一位10岁男孩奖励了1万美元,原因是他发现了一种从Instagram账户中删除用户评论的方法。
