E, É, È, Ê. Как читается буква Е с разными значками? Французский для детей. Урок 7
在多年来不愿意为研究人员付费的情况下,苹果已经投入并准备向其发放高达20万美元的关键漏洞最新版本的iOS和最新的iPhone。
苹果周四在拉斯维加斯举行的黑帽安全会议上宣布了该计划。它将于9月份开始,与其他大型科技公司运行的赏金计划不同,它只会被邀请。
该计划将从Apple挑选的几十名研究人员开始,但任何提交缺陷的外部人员都可以接收奖励并被邀请加入该计划,苹果安全工程和架构主管IvanKrstić表示。
[进一步阅读:如何从Windows PC移除恶意软件]“这并不意味着是独家俱乐部“,他说:”苹果公司表示愿意将为捐赠给慈善机构的研究人员的支出增加一倍“。
信息安全公司Securosis首席执行官Rich Mogull指出,bug奖励计划可能会有不利影响,并表示这不是苹果必须做的事情。但他表示,这是一个良好的开端,苹果可以从中受益。
一些公司“并不想与政府和资金充足的犯罪组织进行竞购战,其中一些公司愿意支付高达一百万美元用于某些漏洞攻击“,Mogull在一篇博客文章中表示。
公众bug奖励计划也可能产生大量低质量报告,但不一定会导致错误修复,但仍然存在“他说,Mogull认为,苹果计划的重点是质量而不是数量,并且有一个明确的目标:在被认为是高优先级的iOS关键领域找到可利用的漏洞。它还迫使研究人员通过工作概念验证漏洞证明他们发现的任何漏洞的影响。这比仅仅提交可能非常关键的错误并将其留给公司进行调查要困难得多。
Apple将为安全启动固件组件中的严重缺陷支付高达20万美元的费用,高达100,000美元的漏洞可从安全中提取机密资料Enclave处理器 - 在iPhone 5s及更高版本中执行加密操作的安全芯片,50,000美元用于可导致使用内核特权执行任意代码的错误,50,000美元用于未经授权访问Apple服务器上的iCloud帐户数据的方式,以及25,000美元Krstić表示,这种赏金结构反映了发现五种类型瑕疵中每一种的困难,
苹果并不总是与这种最好的关系安全社区。虽然许多研究人员都承认苹果产品的坚实安全性,但它经常因其有关安全问题的沟通方式或通信不足而受到批评。苹果公司也是最后一家推出安全奖励计划的大公司之一。
完全危及iOS的漏洞指挥灰色市场上的一些最高价格。当iOS 9推出时,一位在其客户中统计政府机构的漏洞利用经纪人提供了100万美元的基于浏览器的越狱 - 这种漏洞只需访问一个网站即可获得对iOS的root权限。 FBI还从黑客手中购买了一个iOS漏洞利用程序,以便访问圣贝纳迪诺射手之一Syed Farook的锁定iPhone上的数据。
在黑帽大会上,观众问及为什么苹果等待这么久才发布奖励Krstić表示,该公司已经从研究人员处获悉,发现关键漏洞越来越困难,并且希望奖励那些花时间去做这件事的人。
