一項最新研究顯示，蘋果公司在其漏洞賞金計劃中，比三星公司多支付 5 倍的賞金。盡管如此，蘋果公司仍然面臨著研究人員的抱怨，一些人稱蘋果沒有為報告的零日漏洞給他們記功。

Atlas 進行的研究顯示，蘋果公司向在其服務中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元的賞金，而三星的漏洞賞金計劃對合格的漏洞獎勵研究人員 200 至 20 萬美元。

了解到，該研究發(fā)現(xiàn)華為也支付跟三星類似數(shù)額的獎金，在 200 美元到 22.4 萬美元之間。其他安卓智能手機制造商，如小米、一加和 OPPO 的報酬也相對較低。小米公司的獎金在 800 美元到 13000 美元之間，而一加和 OPPO 的獎金為 7000 美元。

然而，似乎較高的報酬并沒有讓開發(fā)者滿意。蘋果一直是研究人員批評的對象。他們指稱，蘋果公司支付的賞金比承諾的少，有時甚至根本不支付，即使發(fā)現(xiàn)了零日漏洞。這些抱怨的聲音從 2017 年就有，蘋果公司在 2021 年為其漏洞賞金計劃聘請了一位新的負責人時，但抱怨并沒有停止。

一項新研究表明在 BUG 懸賞計劃中，蘋果所支付的賞金是三星的 5 倍多。 盡管如此，蘋果仍然面臨著研究人員的投訴，一些人說蘋果沒有為報告的零日漏洞記功。

Atlas VPN 進行的研究顯示， 蘋果 公司向在其服務中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元，而 三星 的漏洞賞金計劃對合格的漏洞獎勵研究人員 200 至 20 萬美元。另一方面， 華為 為其設備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬美元的報酬。

Atlas VPN說，這些數(shù)據(jù)是基于公開的信息，即最重要的 手機 和其他電子產(chǎn)品制造公司為其設備中發(fā)現(xiàn)的漏洞支付多少錢。雖然蘋果公司支付的費用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計劃并不是沒有爭議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問題報酬過低。2021 年，蘋果公司聘請了一位新的領導人來改革其漏洞賞金計劃，因為安全研究人員對它感到"厭煩"。據(jù)華盛頓郵報報道，蘋果公司提供了一個漏洞賞金計劃，旨在向發(fā)現(xiàn)和報告蘋果操作系統(tǒng)中關鍵錯誤的安全研究人員支付報酬，但研究人員對該計劃的運作方式、報酬等并不滿意。

據(jù)接受采訪的安二十多位安全研究人員表示，蘋果公司修復漏洞的速度很慢，而且并不是每次都支付了所欠的費用。

2020 年，蘋果公司支付了 370 萬美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬美元的一半，遠遠低于微軟支付的 1360 萬美元。

安全研究人員表示，蘋果限制了對哪些漏洞將獲得賞金的反饋，而且蘋果的前任和現(xiàn)任員工說，有一個“大量積壓”的漏洞尚未解決。

蘋果不愿意對安全研究人員采取更開放的態(tài)度，這使一些研究人員不愿意向蘋果提供漏洞，這些研究人員反而把它們賣給了政府機構或提供黑客服務的公司等客戶。

IT之家了解到，蘋果公司安全工程和架構主管伊萬-克里斯蒂奇表示，蘋果公司認為該計劃是成功的，與 2019 年相比，蘋果公司在 2020 年支付的漏洞賞金數(shù)額翻了一番。不過，蘋果仍在努力擴大漏洞計劃的規(guī)模，并將在未來提供新的獎勵。

蘋果的漏洞賞金計劃承諾的獎勵從 10 萬美元到 100 萬美元不等，而且蘋果還為一些研究人員提供專門用于安全研究的特殊 iPhone，這些 iPhone 的開放程度比消費者設備高，旨在使安全漏洞和弱點更容易被發(fā)掘出來。

Luta Security 的創(chuàng)始人 Katie Moussouris 表示，蘋果在安全界的不良聲譽在未來可能會導致“更不安全的產(chǎn)品”，并且產(chǎn)生“更多的成本”。

蘋果公司提供了一個漏洞賞金計劃，向發(fā)現(xiàn)和報告蘋果操作系統(tǒng)中存在關鍵錯誤的安全人員支付一定報酬，然而這些研究人員卻表示，對蘋果的漏洞賞金計劃的運作方式及報酬不滿意。

二十余位安全研究人員表示，蘋果公司修復非常慢，并且會拖欠部分費用。2020 ，蘋果公司支付了 370 萬美元給漏洞發(fā)現(xiàn)者，大約是谷歌支付給研究人員的 670 萬美元的一半，遠遠低于微軟支付的 1360 萬美元。

安全研究人員表示，蘋果限制了對部分漏洞獲得獎金的反饋，并且蘋果的前任和現(xiàn)任員工說，有一個“大量積壓”的漏洞尚未解決。

蘋果這種態(tài)度致使一些安全研究人員不再愿意向蘋果提供漏洞，而是將這些漏洞賣給政府機構以及其它黑客服務公司。蘋果目前在安全界的聲譽已經(jīng)嚴重了影響。

一項新研究表明在 BUG 懸賞計劃中，蘋果所支付的賞金是三星的 5 倍多。 盡管如此，蘋果仍然面臨著研究人員的投訴，一些人說蘋果沒有為報告的零日漏洞記功。

Atlas VPN 進行的研究顯示， 蘋果 公司向在其服務中發(fā)現(xiàn)漏洞的研究人員支付 10 萬至 100 萬美元，而 三星 的漏洞賞金計劃對合格的漏洞獎勵研究人員 200 至 20 萬美元。另一方面， 華為 為其設備中發(fā)現(xiàn)的漏洞提供 200 至 22.4 萬美元的報酬。

Atlas VPN說，這些數(shù)據(jù)是基于公開的信息，即最重要的 手機 和其他電子產(chǎn)品制造公司為其設備中發(fā)現(xiàn)的漏洞支付多少錢。雖然蘋果公司支付的費用比三星或上面顯示的這些其他公司要好，但其漏洞賞金計劃并不是沒有爭議的。2017 年，研究人員抱怨發(fā)現(xiàn)的問題報酬過低。2021 年，蘋果公司聘請了一位新的領導人來改革其漏洞賞金計劃，因為安全研究人員對它感到"厭煩"。

蘋果安全工程主管 Ivan Krsti? 今天在拉斯維加斯舉行的黑帽大會上宣布，蘋果將升級漏洞懸賞計劃，除了 iOS 設備外，還會覆蓋 macOS、tvOS、watchOS 和 iCloud。

2016 年 8 月，蘋果正式推出適用于 iOS 設備的漏洞懸賞計劃，允許安全研究人員找到 iOS 漏洞，并向蘋果匯報，以獲得賞金。此前，非 iOS 設備并沒有懸賞計劃，這樣的操作也一直被安全社區(qū)批評。

今年早些時候，由于缺少 macOS 漏洞懸賞計劃，一位德國青少年拒絕向蘋果遞交 macOS 鑰匙串的重大安全漏洞。雖然最終他完成了漏洞遞交，但他表示希望蘋果能開放 macOS 漏洞懸賞計劃。

除了 macOS 懸賞計劃外，蘋果還會提高賞金金額，從之前的每個漏洞 20 萬美元提升至 100 萬美元。此外，蘋果還會向研究人員提供“開發(fā)版”iPhone，這是特殊版 iPhone，可以更深入地訪問底層軟件和操作系統(tǒng)，從而更容易發(fā)現(xiàn)漏洞。