在我们的日常生活中,总是要接触到形形色色的软件。既然是软件,难免会遇到一些bug,而我们在遭遇bug后经常会收到一些提交bug的提示。通过用户发现并提交bug有助于公司对自己的软件进行改进。但显然,苹果不是这样一个公司。
苹果从来没有过一个奖励政策用以鼓励外人发现他们安全功能上的漏洞。但是时代变了,苹果工程师Ivan Krstic在黑帽大会上宣布,苹果公司将对在苹果产品上发现并提交安全漏洞的黑客以及研究人员给予最高20万美元的现金奖励。
Ivan Krstic在谈话中透露了苹果安全体系结构的一部分内容,包括 HomeKit、自动解锁以及 iCloud 钥匙串。这些不寻常的谈话也是在苹果的授意下进行的,这些信息的透露,将有助于外人发现苹果公司的漏洞以帮助苹果进行改进。
苹果公司显然在做出一些积极的转变,但是他们仍然把事情想得太简单,认为20万美元是一笔可观的收入,足以打动那些黑客。不过据报道,FBI曾给一个破解iPhone的人奖励100万美元。苹果的奖励很难打动那些只关心钱的人,但也能影响到关心苹果的人。
另外,来自苹果的消息还提到,没有参与程序的人如果发现了其中一个漏洞,那么就会被邀请加入这个程序。而苹果不会公布受邀人员的名单,但是受邀人员可以自己选择是否说出自己的信息。
以下是bug种类和对应的奖励金额:
安全启动固件组件(secure boot firmware components):20万美元;
安全模块保护下的机密信息提取(extraction of confidential material protected by the Secure Enclave):10万美元;
内核权限下任意代码的执行(execution of arbitrary code with kernel privileges):5万美元;
未经授权在苹果服务器上访问iCloud账户数据(unauthorized access to iCloud account data on Apple servers):5万美元;
在沙盒中处理沙盒外用户数据(access from a sandboxed process to user data outside that sandbox):2万5千美元。
苹果正走在开放的路上,而iOS又是否会向大众开放呢?让我们期待一下吧。
