蘋果發布漏洞賞金計劃，醉翁之意不在酒~

蘋果發布賞金計劃

在今年的Black Hat安全會議上，蘋果公司終於向白帽子們伸出了橄欖枝，決定從今年秋季9月份起，開始實施漏洞賞金計劃，鼓勵安全研究者和白帽子非公開地向蘋果公司報告蘋果產品中存在的安全漏洞，對於高危型漏洞將支付最高20W美元的獎金。

但是該計劃目前實行的是邀請制，只對曾向蘋果報告過有價值的安全漏洞的白帽子開放，大約為20人左右。除此以外，計劃覆蓋的漏洞類型也很有限，只有以下5種：

1.安全引導固件中的漏洞(最高獎勵20w美元)

2.能夠從保護區域提取機密信息的漏洞(最高獎勵10w美元)

3.能以內核許可權執行任意代碼的漏洞(最高獎勵5w美元)

4.能夠獲取到蘋果伺服器上iCloud賬戶數據的漏洞(最高獎勵5w美元)

5.越過沙盒獲取用戶數據的漏洞(最高獎勵2.5w美元)

Facebook，微軟，谷歌幾年前就相繼發布其漏洞賞金計劃，而蘋果為什麼時至今日，才發布呢？

因為蘋果公司之前總覺得這種計劃是沒有意義的。

各國政府和黑市一直以來都在高價競購蘋果產品中的安全漏洞0day，比如今年早些時候，美國聯邦調查局(FBI)就為了解鎖嫌疑人iPhone，而向一個第三方科技公司支付超過100w美元。

蘋果公司認為，如果你的出價永遠都超不過其它買家，那麼出價的意義在哪呢？

20W美元無疑是一筆很高的獎金，但是它還是遠遠低於政府和黑市中給出的價格，所以蘋果本次推出其漏洞賞金計劃，更多的是向世界展示自己開放的安全態度，並緩和與白帽子們的關係。

在這之前，蘋果已經連續4年沒有派遣代表出席Black Hat安全大會了，蘋果產品安全方面的話題，公司會選擇在自己的全球開發者大會上發布。

而本屆的Black Hat會議中，蘋果派其網路安全架構師Ivan Krstic作為參會代表。

Ivan Krstic稱，蘋果將逐步向外界開放其網路安全架構，增強其透明性，並為樂於改進蘋果系統安全性的黑客，安全研究人員和密碼學專家敞開大門。

Ivan Krstic還在會議上談到了蘋果的HomeKit，AutoUnlock以及iCloud keychain的安全特性，這在蘋果歷史上都是比較罕見的。

蘋果公司和外界安全研究人員的關係一直以來都很僵硬，而此次蘋果公司在Black Hat上的表現，標誌著蘋果邁出了其重要的一步。

另一方面，蘋果公司內部的安全人員感覺挖掘蘋果產品中潛在漏洞的過程變得越來越吃力，已經不能保證可以及時挖掘出潛在漏洞並予以修復。所以蘋果公司還有可能是接受了內部安全人員的建議，開始鼓勵外界白帽子協助蘋果公司提高其產品安全性。

所以綜合來講，蘋果本次發布漏洞賞金計劃，更多的是向世界展示其開放的安全態度，說到這裡，不得不提一下同程SRC的開明的安全態度，小編認為同程SRC是眾SRC學習的楷模。

你們是如何看待蘋果公司在安全態度方面的進步呢？對於國內外SRC有哪些看法呢？還有，你們認為目前國內的SRC有哪些優點和不足呢？歡迎留言討論~

其他推薦：

1、重磅分享 | 白帽子黑客淺談顧問式銷售與服務

2、安全觀點：企業信息安全十大痛點，你中招了？

3、招人必看！301淺談國內安全人才薪酬現狀

4、白帽黑客成長獨白：301消失的那幾年

5、鄰居說WiFi安全不重要，結果被「黑」傻了

6、美女iPhone丟了後，黑客跟妹子幹了這樣一件事

7、不看後悔：為什麼企業招不到安全人才？你知道嗎？

8、我有筆錢，想給你。

長按二維碼關注301公眾號

http://weixin.qq.com/r/8kVZQQjEDlVxrUwi9xDg (二維碼自動識別)