苹果的漏洞赏金计划现已向所有人开放 奖励金额高达150万美元

正如八月份首次承诺的那样,苹果的漏洞赏金计划现已向所有人开放。

它以前只是一个受邀者倡议,受到了批评,因为它激励非受邀者向公司和政府出售漏洞详细信息,这些公司和政府将利用这些漏洞来未经授权地访问Apple设备…

在抱怨低报酬之后,苹果先前提高了最高支付额,这甚至使被邀请者更有可能被诱使在黑市上以更高的价格出售安全漏洞。

一个苹果的安全赏金微型拥有的所有细节,包括资格。

为了获得Apple Security Bounty的资格,必须在具有标准配置的iOS,iPadOS,macOS,tvOS或watchOS的最新公共可用版本以及相关的最新公共硬件上发生此问题。这些资格规则旨在保护客户,直到有可用的更新为止,确保Apple可以快速验证报告并创建必要的更新,并适当奖励进行原创研究的人员。研究人员必须:

成为向Apple产品安全部门报告问题的第一方。

提供清晰的报告,其中包括有效的利用程序(详细信息如下)。

在Apple发布报告的安全公告之前,不要公开披露此问题。(通常,通报会与相关的更新一起发布以解决问题)。

Apple未知的问题以及指定的开发人员Beta和公开Beta所特有的问题(包括回归问题)可能会导致50%的奖金支付。合格问题包括:

某些指定的开发人员beta或公共beta版本中引入的安全性问题,如在此页面上指出的那样。并非所有开发者或公开测试版都有资格获得此额外奖金。

如开发人员测试版或公开测试版中所述,先前已解决的问题(包括已发布公告的问题)的回归已在此页上进行了介绍(如可用)。

苹果发布了一个价目表,其中最高支出为10万美元至100万美元-尽管50%的beta奖金意味着最高支出为150万美元。苹果还将再次向慈善机构支付相同金额。

要从Apple的漏洞赏金计划中获得最大的回报,您需要包括一个有效的漏洞利用程序,否则要提供较低的金额。

Apple Security Bounty的目标是通过了解漏洞及其利用技术来保护客户。包含基本概念证明而非有效漏洞利用的报告有资格获得不超过最高支出金额的50%。如果报道缺少必要的信息以使Apple能够有效地重现此问题,则赏金支付将大大减少(如果被接受的话)。

单独的带有样本支出的网页会更详细。

苹果昨天发布了其2019年平台安全指南,其中详细介绍了该公司对其设备和服务应用的安全措施。

(0)
上一篇 2022年4月3日
下一篇 2022年4月3日

相关推荐