蘋果史無前例祭出抓漏獎勵計畫，獎金最高20萬美元

蘋果於本周舉行的黑帽駭客大會上（Black Hat）宣布，該公司準備在今年9月邀請安全研究人員找出特定蘋果產品的安全漏洞，這是蘋果史上的頭一遭，且攸關安全啟動韌體元件的漏洞價值高達20萬美元。

過去蘋果鮮少公開討論該公司的產品安全性，更遑論出現在黑帽駭客大會的講台上，但今年負責蘋果產品工程及架構安全的Ivan Krstic除了上台分享iOS的安全設計外，也揭露了蘋果史無前例的抓漏獎勵計畫。

該計畫預計於今年9月展開，但僅會邀請少數的研究人員參與，並將以品質為重，主要的抓漏類別有五大項，分別是安全啟動韌體、處理器中的Secure Enclave區域、核心權限入侵、iCloud及沙箱等，同時蘋果提供了高額的獎金，上述五大類別的最高獎金分別可達到20萬美元、10萬美元、5萬美元、5萬美元與2.5萬美元。

假設安全研究人員找到了上述類別之外的重大漏洞，蘋果仍會根據漏洞品質提供獎金。

蘋果推漏洞賞金計畫，一個bug最高價值6百萬台幣

蘋果今日宣布將推出「漏洞賞金計畫」，只要回報漏洞就能獲得現金獎勵，最高獎金為20萬美元（約636萬台幣）。該計畫預計在9月展開，這也是蘋果第一次提出資安漏洞獎勵計畫。

抓漏洞是一門大生意

網路科技公司握有許多個人資料，包含付款細節、健康紀錄、聊天內容等，資安議題顯得越來越重要。為了更快找到資安漏洞，過去許多公司紛紛發布漏洞獎勵計畫，包含Facebook、Google、微軟、Tesla和Yahoo，都已推行多年。

相較之下，雖然蘋果一直高呼安全口號，卻遲遲未開放漏洞獎勵機制。蘋果過去曾表示，政府和黑市對發現漏洞給予高報酬，是蘋果不願加入此市場的原因之一。《TechCrunch》報導指出，儘管蘋果提出最高獎勵金20萬美元，已是提供漏洞獎勵計畫公司中的最高價，卻還是遠遠不及政府執法或黑市的開價。例如，FBI去年為了調查Syed Farook槍擊案件，提出近1百萬美元的報酬以破解犯人使用的iPhone。

獎勵從5萬到20萬美元不等

蘋果此次推出的獎勵計畫，隨著漏洞影響程度不同，獎勵金從5萬美元（約159萬台幣）到20萬美元（約636萬美元）不等。金額最高的種類為發現蘋果的「安全開機（Secure boot）」韌體漏洞，用來防止未授權程式自行啟動。不過這項計畫採邀請制，目前僅開放20幾名研究人員，未來將開放更多人加入。

各家公司在漏洞獎勵砸下不少錢，去年Google就為此付出2百萬美元（約6,359萬台幣），大多是來自Android的漏洞。微軟則是自3年前推出該計畫，迄今已付出150萬美元（約4,770萬台幣）的獎勵金，最高支付獎勵為10萬美元（約318萬美元）。Facebook採更開放的漏洞回報機制，5年來已付出4百萬美元（約1.27億台幣）獎勵金，以去年來說，平均每筆獎勵為1,780美元（約5.7萬美元），3月一名芬蘭10歲小孩發現Instagram漏洞，因此獲得Facebook的1萬美元（約31.8萬台幣）獎勵金。

價值高達20萬美元？某大陸青年有空的話說不定可以去找看看iPad Pro的iOS有什麼安全漏洞？說不定可以領到「20萬美元、10萬美元、5萬美元、5萬美元與2.5萬美元」獎金！