蘋果擴大 bug bounty 計畫,增加回報的裝置範圍也增加獎金

作者 | 發布日期 2019 年 12 月 20 日 19:05 | 分類 Apple , 資訊安全 Telegram share ! follow us in feedly


八月時候蘋果已經在黑帽大會宣布會擴大臭蟲獵殺計畫 (bug bounty) 範圍,如今在 2019 快過完之前,蘋果宣布臭蟲獵殺計畫正式開放給所有人回報,並且放寬能回報的範圍,不在只限於 iOS 裝置的臭蟲。

蘋果在八月時候的資安大會黑帽大會上面,宣布會放寬臭蟲獵殺計畫的範圍,並且增加獎金從原先 20 萬增加到 150 萬美元的上限。原先蘋果只開放回報 iOS 裝置的臭蟲,如今加上 iPadOS、macOS、tvOS、watchOS 以及 iCloud。

▲ 蘋果臭蟲獵殺計畫有新的網頁,說明獎勵辦法和適用裝置範圍。(Source:Apple)

而為了說明臭蟲獵殺計畫的訊息,蘋果啟用全新的網頁,仔細說明相關的規則,例如詳細說明臭蟲狀況、需要的情境和觸發條件、為何需要被回報的理由、足夠蘋果人員能夠重現問題的方式。

蘋果也歡迎對 beta 版還未正式推出的產品回報臭蟲,將會為 beta 版產品的臭蟲,比原先獎金上限再多 50% 的獎金。

▲ 蘋果臭蟲獵殺計畫範圍內,列出不同類型和功能的獎金上限。(Source:Apple)

不過有資安研究人員覺得蘋果的條件很嚴格,而且最後一項要讓蘋果人員重現問題的要求,有點自由心證的問題,覺得蘋果的獎金發放標準不容易達到,並不容易拿到。

蘋果是在 2016 年的黑帽大會宣布臭蟲獵殺計畫,三年之後在同樣的大會舞台上面,宣布擴充臭蟲獵殺計畫適用範圍。

(首圖來源:Apple)