BUG 悬赏计划中，苹果所支付的赏金是三星的 5 倍多

一项最新研究显示，苹果公司在其漏洞赏金计划中，比三星公司多支付 5 倍的赏金。尽管如此，苹果公司仍然面临着研究人员的抱怨，一些人称苹果没有为报告的零日漏洞给他们记功。

Atlas 进行的研究显示，苹果公司向在其服务中发现漏洞的研究人员支付 10 万至 100 万美元的赏金，而三星的漏洞赏金计划对合格的漏洞奖励研究人员 200 至 20 万美元。

了解到，该研究发现华为也支付跟三星类似数额的奖金，在 200 美元到 22.4 万美元之间。其他安卓智能手机制造商，如小米、一加和 OPPO 的报酬也相对较低。小米公司的奖金在 800 美元到 13000 美元之间，而一加和 OPPO 的奖金为 7000 美元。

然而，似乎较高的报酬并没有让开发者满意。苹果一直是研究人员批评的对象。他们指称，苹果公司支付的赏金比承诺的少，有时甚至根本不支付，即使发现了零日漏洞。这些抱怨的声音从 2017 年就有，苹果公司在 2021 年为其漏洞赏金计划聘请了一位新的负责人时，但抱怨并没有停止。

一项新研究表明在 BUG 悬赏计划中，苹果所支付的赏金是三星的 5 倍多。 尽管如此，苹果仍然面临着研究人员的投诉，一些人说苹果没有为报告的零日漏洞记功。

Atlas VPN 进行的研究显示， 苹果 公司向在其服务中发现漏洞的研究人员支付 10 万至 100 万美元，而 三星 的漏洞赏金计划对合格的漏洞奖励研究人员 200 至 20 万美元。另一方面， 华为 为其设备中发现的漏洞提供 200 至 22.4 万美元的报酬。

Atlas VPN说，这些数据是基于公开的信息，即最重要的 手机 和其他电子产品制造公司为其设备中发现的漏洞支付多少钱。虽然苹果公司支付的费用比三星或上面显示的这些其他公司要好，但其漏洞赏金计划并不是没有争议的。2017 年，研究人员抱怨发现的问题报酬过低。2021 年，苹果公司聘请了一位新的领导人来改革其漏洞赏金计划，因为安全研究人员对它感到"厌烦"。据华盛顿邮报报道，苹果公司提供了一个漏洞赏金计划，旨在向发现和报告苹果操作系统中关键错误的安全研究人员支付报酬，但研究人员对该计划的运作方式、报酬等并不满意。

据接受采访的安二十多位安全研究人员表示，苹果公司修复漏洞的速度很慢，而且并不是每次都支付了所欠的费用。

2020 年，苹果公司支付了 370 万美元给漏洞发现者，大约是谷歌支付给研究人员的 670 万美元的一半，远远低于微软支付的 1360 万美元。

安全研究人员表示，苹果限制了对哪些漏洞将获得赏金的反馈，而且苹果的前任和现任员工说，有一个“大量积压”的漏洞尚未解决。

苹果不愿意对安全研究人员采取更开放的态度，这使一些研究人员不愿意向苹果提供漏洞，这些研究人员反而把它们卖给了政府机构或提供黑客服务的公司等客户。

IT之家了解到，苹果公司安全工程和架构主管伊万-克里斯蒂奇表示，苹果公司认为该计划是成功的，与 2019 年相比，苹果公司在 2020 年支付的漏洞赏金数额翻了一番。不过，苹果仍在努力扩大漏洞计划的规模，并将在未来提供新的奖励。

苹果的漏洞赏金计划承诺的奖励从 10 万美元到 100 万美元不等，而且苹果还为一些研究人员提供专门用于安全研究的特殊 iPhone，这些 iPhone 的开放程度比消费者设备高，旨在使安全漏洞和弱点更容易被发掘出来。

Luta Security 的创始人 Katie Moussouris 表示，苹果在安全界的不良声誉在未来可能会导致“更不安全的产品”，并且产生“更多的成本”。

苹果公司提供了一个漏洞赏金计划，向发现和报告苹果操作系统中存在关键错误的安全人员支付一定报酬，然而这些研究人员却表示，对苹果的漏洞赏金计划的运作方式及报酬不满意。

二十余位安全研究人员表示，苹果公司修复非常慢，并且会拖欠部分费用。2020 ，苹果公司支付了 370 万美元给漏洞发现者，大约是谷歌支付给研究人员的 670 万美元的一半，远远低于微软支付的 1360 万美元。

安全研究人员表示，苹果限制了对部分漏洞获得奖金的反馈，并且苹果的前任和现任员工说，有一个“大量积压”的漏洞尚未解决。

苹果这种态度致使一些安全研究人员不再愿意向苹果提供漏洞，而是将这些漏洞卖给政府机构以及其它黑客服务公司。苹果目前在安全界的声誉已经严重了影响。

一项新研究表明在 BUG 悬赏计划中，苹果所支付的赏金是三星的 5 倍多。 尽管如此，苹果仍然面临着研究人员的投诉，一些人说苹果没有为报告的零日漏洞记功。

Atlas VPN 进行的研究显示， 苹果 公司向在其服务中发现漏洞的研究人员支付 10 万至 100 万美元，而 三星 的漏洞赏金计划对合格的漏洞奖励研究人员 200 至 20 万美元。另一方面， 华为 为其设备中发现的漏洞提供 200 至 22.4 万美元的报酬。

Atlas VPN说，这些数据是基于公开的信息，即最重要的 手机 和其他电子产品制造公司为其设备中发现的漏洞支付多少钱。虽然苹果公司支付的费用比三星或上面显示的这些其他公司要好，但其漏洞赏金计划并不是没有争议的。2017 年，研究人员抱怨发现的问题报酬过低。2021 年，苹果公司聘请了一位新的领导人来改革其漏洞赏金计划，因为安全研究人员对它感到"厌烦"。

苹果安全工程主管 Ivan Krstić 今天在拉斯维加斯举行的黑帽大会上宣布，苹果将升级漏洞悬赏计划，除了 iOS 设备外，还会覆盖 macOS、tvOS、watchOS 和 iCloud。

2016 年 8 月，苹果正式推出适用于 iOS 设备的漏洞悬赏计划，允许安全研究人员找到 iOS 漏洞，并向苹果汇报，以获得赏金。此前，非 iOS 设备并没有悬赏计划，这样的操作也一直被安全社区批评。

今年早些时候，由于缺少 macOS 漏洞悬赏计划，一位德国青少年拒绝向苹果递交 macOS 钥匙串的重大安全漏洞。虽然最终他完成了漏洞递交，但他表示希望苹果能开放 macOS 漏洞悬赏计划。

除了 macOS 悬赏计划外，苹果还会提高赏金金额，从之前的每个漏洞 20 万美元提升至 100 万美元。此外，苹果还会向研究人员提供“开发版”iPhone，这是特殊版 iPhone，可以更深入地访问底层软件和操作系统，从而更容易发现漏洞。