蘋果史無前例祭出抓漏獎勵計畫，獎金最高20萬美元

蘋果在美國黑帽駭客年會上宣佈將在9月展開首個抓漏獎勵計畫，將邀少數研究人員加，漏洞類別包括安全啟動韌體、處理器中的Secure Enclave區域、核心權限入侵、iCloud及沙箱等，發現提報漏洞的獎金在2.5萬到20萬美元之間。

過去蘋果鮮少公開討論該公司的產品安全性，更遑論出現在黑帽駭客大會的講台上，但今年負責蘋果產品工程及架構安全的Ivan Krstic除了上台分享iOS的安全設計外，也揭露了蘋果史無前例的抓漏獎勵計畫。

該計畫預計於今年9月展開，但僅會邀請少數的研究人員參與，並將以品質為重，主要的抓漏類別有五大項，分別是安全啟動韌體、處理器中的Secure Enclave區域、核心權限入侵、iCloud及沙箱等，同時蘋果提供了高額的獎金，上述五大類別的最高獎金分別可達到20萬美元、10萬美元、5萬美元、5萬美元與2.5萬美元。

假設安全研究人員找到了上述類別之外的重大漏洞，蘋果仍會根據漏洞品質提供獎金。

另一方面，蘋果亦鼓勵研究人員把獎金捐贈給慈善機構，倘若研究人員同意了，蘋果便會再捐贈同樣的金額予該機構。

迄今包括微軟、Google、臉書等知名科技業者皆已祭出抓漏獎勵計畫，廣邀全球資安研究人員尋找自家產品或服務的安全漏洞，其中，Google自2010年推出相關計畫以來，已發出逾600萬美元的獎金，光是去年研究人員自Google領取的獎金便超過200萬美元。

消息來源