雖然說 Apple 產品相對較少漏洞被發現,不過也不代表完全沒有。事實上今年 iOS 13 連番升級,或多或少降低用戶對 Apple 安全的印象。作為保安責任的一環, Apple 剛向公眾開放懸賞計劃「 Apple Security Bounty 」,向舉報保安漏洞的人士發放最多港幣 $1,168 萬獎金。
Apple 從 2016 年開始向獲邀研究單位推出懸賞計劃,而在今年 8 月黑客松大會中,就公布會開放計劃予公眾參與。要取得獎金,舉報的漏洞須為標準配置的 iOS 、 iPadOS 、 macOS 、 tvOS 和 watchOS 的最新公開版本,而且涉及的硬件也須是現行有售的裝置。研究人員想取得獎金要有以下條件:
- 第一個向 Apple 產品保安報告問題;
- 提供清晰報告,包括具體運用漏洞的方法;
- 在 Apple 發出安全公告之前,不能公開披露問題。
成功舉報的話,舉報者最少可以獲得 $5,000 美元獎金(約港幣 $39,000 )。而如果在指定 Beta 版或公測版發現 Apple 過去未知的漏洞的話,每個舉報項目將可額外獲得 50% 獎金。 Apple 為不同類別問題設定了不同獎金上限,例如發現未經授權登入 iCloud 帳戶的漏洞最多可得 $10 萬美元 (約港幣 $77.8 萬),直接接觸裝置抽取用戶資料最高可得 $25 萬美元 (約港幣 $195 萬)。而最高獎金的是「具有持久性和繞過內核 PAC 的零點擊內核代碼執行」,最高可以獲得 $100 萬美元 (約港幣 $778 萬),連同封測 50% 獎金的話就可達到 $150 萬美元 (約港幣 $1,168 萬)。
