更多

    重賞 $11,680,000 ! Apple 開放舉報保安漏洞懸賞機制

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    雖然說 Apple 產品相對較少漏洞被發現,不過也不代表完全沒有。事實上今年 iOS 13 連番升級,或多或少降低用戶對 Apple 安全的印象。作為保安責任的一環, Apple 剛向公眾開放懸賞計劃「 Apple Security Bounty 」,向舉報保安漏洞的人士發放最多港幣 $1,168 萬獎金。

    Apple 從 2016 年開始向獲邀研究單位推出懸賞計劃,而在今年 8 月黑客松大會中,就公布會開放計劃予公眾參與。要取得獎金,舉報的漏洞須為標準配置的 iOS 、 iPadOS 、 macOS 、 tvOS 和 watchOS 的最新公開版本,而且涉及的硬件也須是現行有售的裝置。研究人員想取得獎金要有以下條件:

    • 第一個向 Apple 產品保安報告問題;
    • 提供清晰報告,包括具體運用漏洞的方法;
    • 在 Apple 發出安全公告之前,不能公開披露問題。

    成功舉報的話,舉報者最少可以獲得 $5,000 美元獎金(約港幣 $39,000 )。而如果在指定 Beta 版或公測版發現 Apple 過去未知的漏洞的話,每個舉報項目將可額外獲得 50% 獎金。 Apple 為不同類別問題設定了不同獎金上限,例如發現未經授權登入 iCloud 帳戶的漏洞最多可得 $10 萬美元 (約港幣 $77.8 萬),直接接觸裝置抽取用戶資料最高可得 $25 萬美元 (約港幣 $195 萬)。而最高獎金的是「具有持久性和繞過內核 PAC 的零點擊內核代碼執行」,最高可以獲得 $100 萬美元 (約港幣 $778 萬),連同封測 50% 獎金的話就可達到 $150 萬美元 (約港幣 $1,168 萬)。

    五種懸賞分類和上限獎金,不過如果是影響用戶的重大保安漏洞,即使不在這些類別裡也可以獲得獎金。
    五種懸賞分類和上限獎金,不過如果是影響用戶的重大保安漏洞,即使不在這些類別裡也可以獲得獎金。

    您會感興趣的內容

    相關文章