Apple的Bug Bounty计划有利于数量的质量
Galaxy Note 7召回:用手机做什么直到它被替换?
HPE:我真的很想相信,但你这么努力
Gartner说,智能手机销量在Q2中跃升4%
Appdirect评分“主要里程碑”与加拿大电信合作
平均女性技术薪水少于男性,无论作用还是经验
智能手机增长仍然是平的,我今年的iPhone下降了12%
在iPhone 7的前夕,三分之一的iPhone是3年以上的
英国欧盟谈判未能提高IT领导者的信心
Windows 10 1607成为企业部署默认值
在疑似贩毒者将收费转入电话账单后,AT&T罚款7.75亿美元
奥迪斯今年将能够与红绿灯交流
基于应用程序的挑战银行椋鸟在其旅程的下一阶段进入
拒绝披露密码后,笼子导演被判犯有恐怖主义罪行
云播放器Rackspace以4.3亿美元的交易私人
近一半的亚太地区制造商将在2022年将拥有完全连接的工厂
脱离太阳能电池制成的屋顶
执行面试:Stuart Tarmy对GDPR合规性的技术挑战
泄露的SMB利用使恶意软件强大,警告气体
Apple面临挑战,让用户升级到iPhone X.
安全公司面向股票污水策略面临诉讼
Europol和国际刑警组织重申反对网络犯罪
阿布扎比运输署使用无人机改善交通流量
高通动力的Android设备由四根生根缺陷困扰
Nutanix通过Pernixdata和Calm.io获得超复位器
一些承包商每天收入超过700英镑
爱尔兰高等法院要求欧洲法院统治欧盟 - 美国数据转移的合法性
中东CIO采访:rajiv prasad,xpandretail
面试:它中断击中外包的法律职业
部长证实普遍的信贷推出,尽管有疑虑
技能短缺上衣安全严重议程
机器学习为网络攻击提供了希望
禁用WPAD现在或让您的帐户和私人数据受到损害
AI领导人呼吁停止自主武器的发展
框使用谷歌的AI支持企业的图像识别
EE修复2G频谱以支持扩展的4G移动服务
大多数英国议会受到网络攻击的影响
松下的新型4K摄像机在低光方面做得更好
三分之二的英国企业采用了金融气
Sadiq Khan的未派遣球队在伦敦解决数字连接
铜缆死亡:英特尔转向光线,以便快速数据传输
菲亚特加入宝马的自治车平台倡议
苏格拉勒测试“世界上最快”的列车Wi-Fi服务
技术如何在海湾地区转变医疗保健
Bristol主机成功测试5G移动边缘计算
Yodlee通过上下文数据提高金融交易
阿联酋电信推动萨斯在中东采用
微软推出了它的热情
慈善群体与新移动应用程序的环境数据
Informatica CEO:'数据安全是一个未解决的问题'
您的位置:首页 >产品 > 人工智能 >

Apple的Bug Bounty计划有利于数量的质量

2021-07-19 09:44:01 [来源]:

经过多年的不愿意支付研究人员的利用,Apple已经发出,并准备在最新版本的iOS和最新的iOS中发现的关键漏洞,准备发出高达200,000美元的价格。

Apple周四在拉斯维加斯的黑帽安全会议上宣布了该计划。它于9月开始,与其他大型技术公司运行的赏金计划不同,它只会邀请。

该计划将从Apple挑选的几十名研究人员开始,尽管任何提交有资格获得奖励的漏洞的Outsider都可以获得奖励并被邀请加入该计划,但IvanKrstić表示,Apple安全工程和建筑负责人。

“它并不意味着成为一个独家俱乐部,”他说。

Apple表示愿意为捐赠慈善机构奖励奖励的研究人员提出两倍。

资讯安全公司证券证券交易所的CEO丰富的Mogull指出,Bug Bounty程序可以有缺陷的程序,并说它不是苹果公司必然要做的。但他说这是一个很好的开始,苹果可以从中受益。

一些公司“不真正希望与各国政府和资助的犯罪组织招标战争,其中一些愿意为某些漏洞支付高达一百万美元,”Mogull在一个博客帖子中说。

他说,公共BUG赏金计划也可以以低质量报告的形式产生大量噪音,即不一定导致错误修复,但仍然消耗工程资源来调查。

Mogull认为,苹果计划专注于质量超过数量,并有一个明确的目标:在IO的关键领域找到可利用的错误,被认为是高度优先事项。它还迫使研究人员证明他们找到的任何缺陷的影响,他们找到了概念的验证漏洞。这比简单地提交可能是至关重要的错误并将其留给公司调查的错误。

在安全启动固件组件中,Apple将支付高达200,000美元的临界缺陷,可用于可以从安全的固定处理器中提取机密材料的漏洞100,000美元 - 在iPhone 5s和更高版本中执行加密操作的安全芯片,为错误为50,000美元可以在没有授权的情况下使用内核权限,50,000美元用于访问Apple的Servers上的iCloud帐户数据的方式,为漏洞提供25,000美元,以便从沙箱进程内部提供访问到该沙箱外的用户数据。

Krstić表示,这种赏金结构反映了寻找五种类型的缺陷中的每一个。

Apple Hasn“T始终与安全社区有最好的关系。虽然许多研究人员承认Apple产品的稳固安全性,但它经常被批评它传达安全问题,或者不够通信。Apple也是推出安全奖励计划的最后一个大公司之一。

可以完全妥协iOS指挥灰色市场的最高价格的漏洞。当iOS 9出来时,一名剥削经纪人在其客户中依赖政府机构的经纪人为浏览器的越狱提供了100万美元 - 这是一个漏洞利用,可以通过访问网站来获得对iOS的root访问权限。联邦调查局还从黑客购买了一个iOS漏洞,以便在圣贝纳迪诺射手之一的Syed Farook的锁定iPhone上访问数据。

观众在黑色帽子上询问为什么Apple等待这么长时间才能推出赏金计划,Krstić表示,该公司已从研究人员中听到,发现普遍困难的危险性越来越困难,并且希望奖励那些花时间做的人。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。