苹果漏洞奖励最高20万美元 你拿得到吗？

8 月 5 日消息，在今年的黑帽大会上苹果公司安全工程师伊万·克里斯迪克(Ivan Krstic)宣布启动漏洞奖励计划，苹果将会给任何在苹果公司软件中发现重大 bug 和安全漏洞的个人提供奖励。

其实目前很多大型科技公司，比如谷歌和微软都有漏洞发现奖励计划，鼓励有能力的人去发现和报告软件系统中所存在的重大漏洞等。例如，谷歌上月宣布，该公司去年向发现 Android 软件漏洞的研究人员总共支付了 55 万美元奖金。Facebook 也在今年 2 月表示，从 2011 年开始，该公司的漏洞奖励项目总共向全球 800 名研究人员支付了超过 430 万美元奖金。不过苹果公司是直到最近才宣布提供类似的奖励。

参加了今年的黑帽大会的 Cydia 之父 Saurik（Jay Freeman）在自己的推特上更新了这一条消息，他表示苹果还承诺将会优先考虑推送更新。

根据国外媒体的报道，苹果公司本次推出漏洞奖励计划也证明了他们想进一步向黑客、研究人员、密码学家以及很多想要帮助提升苹果软件系统的人开放，欢迎这些人来帮助发现更多漏洞和问题。

根据研究人员所发现的漏洞和问题的不同，苹果公司最多会提供高达 20 万美元的奖励。如果是发现安全 boot 固件部件方面的问题，研究人员可以获得 20 万美元的奖励，但如果是小的漏洞，比如通过沙箱进程访问沙箱外用户数据的问题，最多只能得到 25000 美元的奖励。

虽然苹果已经说明了发现不同类型的漏洞所能获得的最高奖励金额，但是他们还是会通过以下几个因素来确定漏洞发现者最终应该获得多少奖励：漏洞报道的清晰程度；所发现的问题的新奇程度以及用户因此受影响的可能性；漏洞若要产生影响所需要的用户交互程度。

苹果公司计划从今年 9 月份起正式启动他们的漏洞奖励计划。研究人员如果想要拿到奖金的话，除了发现漏洞之外，还必须提供在最新版iOS和最新硬件上的概念验证。苹果同样还鼓励研究人员将他们获得的奖金捐献出去，用于慈善事业，而苹果也会根据开发者的捐赠进行相应的捐赠匹配活动。

目前苹果的这项漏洞奖励计划还是邀请制的，他们只邀请了十几名研究人员参与这项计划。苹果公司表示随着该计划的发展壮大，他们会进一步开放，吸引更多研究人员，如果未受邀请的个人发现了重大漏洞，他也会被邀请参加这项计划。