苹果公司决定提供 100 万美元的漏洞奖励被批评为可能造成共谋机会和不正当奖励措施。
根据 The Verge 的说法,Apple 宣布它已经扩展了现有的 bug 赏金计划,包括 macOS,tvOS,watchOS 和 iCloud。对于零点击,全链内核代码执行攻击,它将包含高达 100 万美元的奖励。
以前最高支付 200,000 美元,100 万美元的支出将用于 iOS 漏洞,攻击者可以在没有任何用户交互的情况下控制手机。
福布斯报道,另外 50 万美元将发给那些能够找到“不需要用户互动的网络攻击”的人。
说起 Infosecurity, 卢塔安全 CEO 凯蒂 Moussouris 说,她很关心它提高到这个水平“因为它可能会造成意想不到的不正当激励的后果,”因为她说,这种“什么也不做与罪行的市场竞争。”
Moussouris 认为它也可能与内部员工产生勾结。第三,她担心这“可能最终会蚕食苹果公司自己的招聘政策及其职业保留渠道”,好像有质量保证工程师认为这是他们获得大奖的唯一机会,他们已经获得足够的知识来了解这个架构。“对他们来说这将是一笔不错的投资; 什么时候你会得到这样的意外收获呢?“
她说“必须仔细检查攻防市场中的不正当奖励措施,因为这是一种不可持续的价格上涨。”虽然这可能产生新的攻击和愿意为防御工作的新人才,但对臭虫的整体影响市场尚待观察“我很担心。”
从 1995 年到 2010 年,最初的错误奖金是 500 美元,2010 年看到了第一个 Google 漏洞赏金,起价为 1,337 美元,这导致 Mozilla 将其漏洞奖金提高到 3,000 美元。然后价格全面上涨。
“人们认为越多越好; 这是每家公司应该做的 - 不断提高价格。但是,如果你考虑一下,有一个逻辑限制,防御价格不能超过,因为如果你超过它们,你会开始看到不正当的激励措施出现,“Moussouris 说。“我认为进攻市场,也被称为黑市,将很快调整。”