蘋果發布首期漏洞賞金計畫，最高獎20萬美元

今年的黒客大會(black hat conference)上，蘋果(apple)、卡巴斯基(kaspersky)、松下(panasonic)以及金融巨頭萬事達卡(mastercard)公布了各自的漏洞賞金計畫。蘋果的第一期漏洞賞金計畫就將提供最高20萬美元的獎勵。

蘋果安全工程師伊萬·克里斯迪克(ivan krstic)在2016黑帽安全大會(black hat security conference)上宣布，蘋果公司將於今年9月推出漏洞賞金計畫，將為發現軟體重大漏洞和缺陷的個人提供現金獎勵。最高獎勵達到20萬美金!

而相較於財大氣粗的蘋果公司，卡巴斯基更多是試探性的嘗試。

8月2日，卡巴斯基在黑客大會上宣布漏洞賞金計畫，第一期漏洞賞金將提供最高5萬美金的獎勵。卡巴斯基將於8月3日起與hackerone(據說該平台有6000多個黑客)進行6個月的合作。

卡巴斯基全球研究分析團隊美國分部部主任ryan naraine說

賞金計畫增強了卡巴斯基的內部流程來評估軟體，其中包括其在安全軟體開發生命週期內的**審查和審計。

高管態度

漏洞賞金計畫這個專案是蘋果整個安全計畫中的第一階段，將會有一些安全專家被邀請來參加這個計畫。隨著專案的成熟，整個蘋果安全團隊會逐漸熟悉來自外部的bug報告，屆時我們將會向更多的安全研究員開放我們的漏洞賞金計畫，乃至整個資訊保安社群。

但是蘋果發言人並沒有透露示哪些安全專家會參與。

ivan krstic(蘋果公司首席安全工程師、架構師)說

把絕大部分的致命漏洞找出來是很難的，為了獎勵芸芸研究者花費的時間、精力以及富有創造力的發現(bug)，蘋果才設定這麼龐大的獎金池。

rich mogull(蘋果的分析師兼顧問公司securosis ceo)表示，蘋果公司做的每件事都經過深思熟慮：

注重質量，而不是數量。這就是蘋果之道。如果你了解蘋果，你會發現他們從企劃到產品到售後服務都做得無可挑剔。我甚至認為蘋果沒有必要開啟漏洞賞金計畫，可能這會使蘋果的產品更加安全。

下表是蘋果在黑客大會上發布的漏洞/賞金**。即便研究人員發現的bug沒有出現在下表中，蘋果也會酌情支付一些賞金。如果研究人員打算把獲得的賞金用於慈善事業，那麼蘋果會將賞金翻倍。

nice!這很蘋果。

賞金型別

獎勵金額

安全啟動韌體元件

最高$200000

保護機密材料提取的安全協議處理器

最高$100000

執行任意**核心許可權

最高$50000

在蘋果伺服器上未經授權擅自訪問icloud帳戶資料

最高$50000

在沙箱外對沙箱內的使用者資料進行訪問

最高$25000