苹果推出最高100万美元的漏洞奖励计划

8月10日消息，苹果公司决定提供100万美元的漏洞奖励以鼓励安全人员尽可能多的发现旗下产品漏洞。

Apple宣布它已经扩展了现有的漏洞赏金计划，包括macOS、tvOS、watchOS和iCloud；对于0Day攻击、全链内核代码执行攻击等的发现都将包含进高达100万美元的奖励当中。

据悉，以前苹果的赏金最高支付200000美元，如今金额的提升将被用于大批量发现iOS漏洞，以防止攻击者在没有任何用户交互的情况下控制手机。福布斯报道称，苹果还计划将50万美元发给那些能够找到“不需要用户互动的网络攻击”的人。

对于苹果这一举动，Luta Security CEO Katie Moussouris持反对观点：“我很关心苹果将奖励计划提高到这个水平，因为它可能会造成意想不到的不正当激励的后果，这就好像是在鼓励犯罪。”

从1995年到2010年，最初的Bug发现奖金是500美元，2010年Google第一个提出漏洞赏金，起价为1337美元，这导致Mozilla将其漏洞奖金提高到3000美元，然后价格全面上涨。

Moussouris认为必须仔细检查攻防市场中的不正当奖励措施，因为这是一种不可持续的价格上涨。虽然这可能会激发新的防御人才出现，但对市场的整体影响（尤其黑产）尚待观察。

参考来源：

https://www.infosecurity-magazine.com/news/apples-million-bug-bounty/

声明：本文来自宅客频道，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。