Apple Apple在Black Hat USA 2016上推出Bug Bounty计划

Apple终于有了一个bug赏金计划。

该公司的安全工程和架构负责人Ivan Krstic于8月4日晚在拉斯维加斯举行的Black Hat USA 2016黑客大会上罕见公开露面时宣布了这一邀请项目。

Krstic的团队负责管理所有Apple产品的端到端安全性，该公司表示，该公司将在周四发布的名为“iOS安全幕后故事”的漏洞中支付高达20万美元的费用。

补偿取决于黑客攻击：访问沙盒应用程序数据的价值高达25,000美元，而危及安全启动固件组件的最高价格则为200,000美元。

奖励黑客披露安全漏洞而不是秘密利用它们已经变得越来越普遍 - 从优步到五角大楼的每个人都这样做。

苹果公司从依赖研究人员的善意转变为提供漏洞披露奖励的转变可能是由于与2015年San Bernardino拍摄相关的iPhone 5c的黑客攻击。公众对黑客的了解很少，是否仍然可以用来打破进入iPhone。

黑帽与会者Robert McCarthy发推文：

听众： “FBI问题影响你的位置多少钱？”

伊万·科斯蒂奇： “我是一名工程师来回答技术问题”

甚至联邦调查局（FBI）在苹果公司拒绝提供帮助的情况下支付了一个仍然未知的第三方来破解iPhone，但他不知道该设备是如何受到损害的。它可能甚至不知道黑客真正花了多少钱，因为FBI导演詹姆斯科米声称它耗资约130万美元被后来的报道所驳斥，后来声称它实际上花费不到100万美元。

由于FBI在设备上没有找到任何东西，因此这种模糊性更令人担忧。这意味着世界上最重要的执法机构之一向未知公司提供了未知数量的资金来执行未知的黑客攻击 - 从而证明可以完成并且每个拥有iPhone 5c的人都有风险 - 没有得到任何回报。

错误赏金计划可以让Apple消除其中的一些变量并使其产品更安全。然而，奇怪的是，该计划将从几十位研究人员开始，并仅通过邀请进行扩展。 bug赏金计划的目的通常是让尽可能多的人围绕各种安全功能查看他们能够解决的问题。

据报道，苹果公司计划随着时间的推移邀请更多人加入该计划，并“邀请”任何通过其他渠道报告严重漏洞的人，但目前似乎苹果只是将其脚趾浸入臭虫赏金池。这是公司的特点，这通常是谨慎的，但对于想要尽快争取奖励的任何人来说，这可能会令人沮丧。

不过，这对苹果而言是明显的进步。因此，Krstic首先出现在像Black Hat USA这样的活动中。结合其他变化，比如不加密iOS 10内核的决定，看起来圣贝纳迪诺的故事可能是苹果公司愿意走出阴影，这样它可以让许多使用其产品的人更安全一点。