根据福布斯的最新报道,苹果在Black Hat 2019上宣布推出赏金计划,目前已确认奖金总额高达 100 万美元,主要针对 iPhone 和 Mac 的内核漏洞,但也可以扩展到 watchOS 及其 Apple TV 操作系统。此外,苹果方面表示将为参与该计划的开发人员提供“开发者设备”,这是一种特殊版的 iPhone,可以帮助开发者更深入地访问底层软件和操作系统,从而更容易发现内核漏洞。
此前,苹果提供的最高奖金是 20 万美元,现如今拿出 100 万美元是希望收到报告后通过软件更新解决这些潜在问题,避免开发者将其暴露给不法分子。执行至今,苹果已经通过这项赏金计划收到了 50 个严重漏洞的反馈。
无独有偶,微软近日也在Black Hat 2019上宣布了一项与 Azure 相关的高达 30 万美元的赏金计划,并推出了 Azure 安全实验室,这是一个类似沙箱的环境,供安全研究人员测试其云安全性,该公司还将顶级 Azure 漏洞的奖金增加了一倍,达到40,000美元。
Azure 安全实验室本质上是一组与 Azure 用户隔离的专用云主机,因此安全研究人员可以测试针对云平台的攻击,并且不会影响现有用户的正常使用,这也意味着研究人员不仅可以研究 Azure 中的漏洞,还可以尝试利用它们。
目前,Azure 安全实验室不向公众开放,想要使用必须提出申请。微软承诺针对特定场景会有适当的宣传活动,并增加激励措施,包括安全研究人员可以直接与 Azure 安全专家联系。
“我们有新的基于场景的挑战,Azure 安全实验室提供高达 30 万美元的额外赏金奖励。全年,微软将向 Azure 安全实验室参与者提供超过 200 万美元的情景赏金奖励”,微软安全社区经理 Kymberlee Price 表示,“第一个场景将侧重于打破 Azure 上基于 VM 的租户隔离。”
据了解,Bug 赏金计划是对现有内部安全计划的有力补充,有助于激励个人和黑客群体发现漏洞并正确地披露出来,而不是恶意使用或出售给他人。相信通过这种方式,微软和苹果方面未来可以收到更多有价值的反馈,并不断提高产品的安全性。
