八月时候苹果已经在黑帽大会宣布会扩大臭虫猎杀计划 (bug bounty) 范围,如今在 2019 快过完之前,苹果宣布臭虫猎杀计划正式开放给所有人回报,并且放宽能回报的范围,不在只限于 iOS 装置的臭虫。
苹果在八月时候的资安大会黑帽大会上面,宣布会放宽臭虫猎杀计划的范围,并且增加奖金从原先 20 万增加到 150 万美元的上限。原先苹果只开放回报 iOS 装置的臭虫,如今加上 iPadOS、macOS、tvOS、watchOS 以及 iCloud。
▲ 苹果臭虫猎杀计划有新的网页,说明奖励办法和适用装置范围。(Source:Apple)
而为了说明臭虫猎杀计划的讯息,苹果启用全新的网页,仔细说明相关的规则,例如详细说明臭虫状况、需要的情境和触发条件、为何需要被回报的理由、足够苹果人员能够重现问题的方式。
苹果也欢迎对 beta 版还未正式推出的产品回报臭虫,将会为 beta 版产品的臭虫,比原先奖金上限再多 50% 的奖金。
▲ 苹果臭虫猎杀计划范围内,列出不同类型和功能的奖金上限。(Source:Apple)
不过有资安研究人员觉得苹果的条件很严格,而且最后一项要让苹果人员重现问题的要求,有点自由心证的问题,觉得苹果的奖金发放标准不容易达到,并不容易拿到。
苹果是在 2016 年的黑帽大会宣布臭虫猎杀计划,三年之后在同样的大会舞台上面,宣布扩充臭虫猎杀计划适用范围。
- Apple opens public bug bounty program, publishes official rules
(首图来源:Apple)