苹果运行着一个漏洞赏金计划,该计划以前仅适用于受公司邀请的特定研究人员。它现已向所有人开放该程序,其中将向所有安全研究人员支付100万至100万美元,以查找并向Apple Product Security报告公司产品中的错误。
在这个更加开放的漏洞赏金计划下,该公司包含了有关iCloud中的漏洞,通过物理访问进行的设备攻击,与用户交互的网络攻击等方面的报告。
回想一下,今年早些时候,该公司在拉斯维加斯举行的Black Hat安全会议上提供了特殊的iPhone来选择安全研究人员,该会议具有开放代码,可以查找漏洞并进行报告。最初的漏洞赏金计划始于2016年,为研究人员提供高达200万美元的资金,用于查找和报告系统中的漏洞。
参加Apple Security Bounty计划的资格标准是,该问题必须发生在最新的公共可用版本的iOS,iPadOS,macOS,tvOS或watchOS上,并且在最新的公共可用硬件上具有标准配置。
要声明赏金,研究人员应该是第一个向Apple Product Security报告此问题的人,并提供清晰的报告,其中包括有效的利用方法。他们也不应在Apple发布报告的安全公告之前公开披露此问题。
公司未知并在指定的开发人员Beta和公开Beta中发现的问题将导致50%的奖金支付。