Atlas VPN 的一項新研究顯示,蘋果公司向在其設備上發現和報告軟件漏洞的研究人員提供最高的錯誤賞金獎勵。與三星相比,蘋果的漏洞賞金獎勵是其競爭對手的 5 倍。
但即便如此,這家庫比蒂諾科技巨頭仍面臨著開發人員或安全研究人員的批評,因為他們沒有認可他們的發現,也沒有支付獎勵。
Apple 向研究人員提供從 10 萬美元到 100 萬美元不等的最高漏洞賞金獎勵以發現漏洞
根據報告,這家庫比蒂諾科技巨頭可以為其設備中發現的漏洞支付高達 100 萬美元的費用,這對安全研究人員尋找蘋果軟件操作系統中的漏洞來說是一個巨大的激勵。華為為其AppGallery、雲服務或手機本身的漏洞支付了第二高的漏洞賞金獎勵,高達22.3萬美元。三星位居第三,因漏洞利用而獲得的賠償高達 1.3 萬美元。
- Apple 向在其設備中發現漏洞的研究人員支付 10 萬至 100 萬美元。我們今年早些時候的報告發現,Apple 產品中的漏洞激增了 450% 以上。
- 華為的漏洞賞金計劃針對在其設備中發現的漏洞提供 200 至 22.3 萬美元的獎勵。
- 三星的漏洞賞金計劃根據嚴重程度、漏洞報告質量、受影響範圍和攻擊難度,對符合條件的漏洞攻擊研究人員獎勵 200 至 20 萬美元。
- 小米針對發現的漏洞支付的賞金金額從 800 美元到 13,000 美元不等,並為在小米計劃中獲得最多賞金的黑客提供特殊的黑客排行榜獎勵。
- 步步高電子旗下的 OnePlus 和 Oppo 的漏洞賞金計劃分別可以獎勵研究人員高達 7000 美元和 4000 美元。
- LG 漏洞賞金計劃根據安全漏洞的嚴重程度提供高達 4200 美元的補償。
然而,一些註冊了蘋果安全賞金(ASB)計劃的安全研究人員對該計劃的管理表示了不滿和沮喪。研究人員抱怨說,該公司需要幾個月的時間來響應提交的漏洞,有時,修補發現的漏洞,卻沒有向漏洞獵人表示感謝,也沒有給予他們應有的獎勵。
這種行為在開發人員 Denis Tokarev 的案例中表現得很明顯,他發現了四個零日漏洞。蘋果在沒有給予他信任的情況下修補了 iOS 14.7,當他公開 iOS 15 中的其餘三個漏洞時,該公司表面上道歉,並隨後也做了同樣的事情。在 iOS 15.0.2 更新中,該公司修復了遊戲零日漏洞,但沒有給予 Tokarev 積分和現金獎勵。還有兩個漏洞仍有待修復,這些漏洞是在 2021 年 3 月至 5 月期間提交的。
一些心懷不滿的人還考慮將這些漏洞出售給 HackerOne、Zero Day Initiative 等供應商或第三方(可能是 NSO 等公司,NSO 是用於破解 iPhone 和 Android 設備的 Pegasus 間諜軟件的創建者)。