Atlas VPN 的一项新研究显示,苹果公司向在其设备上发现和报告软件漏洞的研究人员提供最高的错误赏金奖励。与三星相比,苹果的漏洞赏金奖励是竞争对手的 5 倍。
但即便如此,这家库比蒂诺科技巨头仍面临着开发人员或安全研究人员的批评,因为他们没有认可他们的发现,也没有支付奖励。
Apple 向研究人员提供从 10 万美元到 100 万美元不等的最高漏洞赏金奖励以发现漏洞
根据报告,这家库比蒂诺科技巨头可以为其设备中发现的漏洞支付高达 100 万美元的费用,这对安全研究人员寻找苹果软件操作系统中的漏洞来说是一个巨大的激励。华为为其AppGallery、云服务或手机本身的漏洞支付了第二高的漏洞赏金奖励,高达22.3万美元。三星位居第三,因漏洞利用而获得的赔偿高达 1.3 万美元。
- Apple 向在其设备中发现漏洞的研究人员支付 10 万至 100 万美元。我们今年早些时候的报告发现,Apple 产品中的漏洞激增了 450% 以上。
- 华为的漏洞赏金计划针对在其设备中发现的漏洞提供 200 至 22.3 万美元的奖励。
- 三星的漏洞赏金计划根据严重程度、漏洞报告质量、受影响范围和攻击难度,对符合条件的漏洞攻击研究人员奖励 200 至 20 万美元。
- 小米针对发现的漏洞支付的赏金金额从 800 美元到 13,000 美元不等,并为在小米计划中获得最多赏金的黑客提供特殊的黑客排行榜奖励。
- 步步高电子旗下的 OnePlus 和 Oppo 的漏洞赏金计划分别可以奖励研究人员高达 7000 美元和 4000 美元。
- LG 漏洞赏金计划根据安全漏洞的严重程度提供高达 4200 美元的补偿。
然而,一些注册了苹果安全赏金(ASB)计划的安全研究人员对该计划的管理表示了不满和沮丧。研究人员抱怨说,该公司需要几个月的时间来响应提交的漏洞,有时,修补发现的漏洞,却没有向漏洞猎人表示感谢,也没有给予他们应有的奖励。
这种行为在开发人员 Denis Tokarev 的案例中表现得很明显,他发现了四个零日漏洞。苹果在没有给予他信任的情况下修补了 iOS 14.7,当他公开 iOS 15 中的其余三个漏洞时,该公司表面上道歉,并随后也做了同样的事情。在 iOS 15.0.2 更新中,该公司修复了游戏零日漏洞,但没有给予 Tokarev 积分和现金奖励。还有两个漏洞仍有待修复,这些漏洞是在 2021 年 3 月至 5 月期间提交的。
一些心怀不满的人还考虑将这些漏洞出售给 HackerOne、Zero Day Initiative 等供应商或第三方(可能是 NSO 等公司,NSO 是用于破解 iPhone 和 Android 设备的 Pegasus 间谍软件的创建者)。