Mozilla 扩大漏洞奖励计划,奖励金为原来的三倍
火狐浏览器迎来十五周年庆,Mozilla 为此扩展了漏洞奖励计划,涵盖多个新站点和服务,并宣布最高奖励金是原来的三倍。
因此,如果研究员能从火狐浏览器或 Mozilla 其它不太为人所知的服务如支付订阅服务、VPN\本地化、代码管理工具、语音识别等产品和服务中设法修复远程代码漏洞,那么就可以得到1.5万美元的奖励金。对漏洞报告的相关规定如常。
而这一决策也让 Mozilla 成为漏洞奖励行业的垫底选手。例如,Yahoo! 规定如果从任何服务中能够发现任何漏洞,就可获得1.5万美元的奖励。Snapchat 的规定也差不多。
但 Mozilla 的奖励金和其它技术大亨比起来差距仍然很大。例如,英特尔根据漏洞的严重程度颁发的奖励金范围均为500到10万美元之间,但仍然被微软以提供最高30万美元最低1.5万美元的奖励金碾压。
Dropbox 提供的最高奖励金为3.3万美元,推特最高赏金为2万美元;Facebook 并未提供最高赏金——好吧,人家是 Facebook,人家啥坏事也不干。如果研究人员能在 guest 模式下破解 ChromeOS,则谷歌将颁发15万美元的奖励。
不过,华为也提供了漏洞奖励计划,如果研究人员能够从华为手机中发现漏洞,则华为会提供比谷歌还高的奖励金。华为表示,如果能从其安卓手机(Mate、P、Nova、Y9 和荣耀系列)中找到严重漏洞,则奖励22万美元,如果发现高危漏洞,最高可获得11万美元的奖励。谷歌对同样漏洞设置的最高奖励金是20万美元和10万美元。
不过,漏洞奖励最大方的厂商要数苹果公司。该公司在今年早些时候将最高奖励金从20万美元提高到100万美元,条件是研究人员能够在无需点击或触摸的情况下黑掉一部 iPhone。如果能够在无需用户交互的情况下发动网络攻击,则可获得50万美元的奖励金,而如果这种攻击发生在测试版软件中,则可额外获得50%的奖金。
不过,当然奖励金的平均水准是漏洞猎人最终决定是否投入时间和技术的准绳。但整个行业的平均奖励金水平并不高,可以说非常低。
无论如何,Mozilla 作为非营利性组织,其扩大漏洞奖励范围和提升奖励金的行为反映了两件事:首先,漏洞挖掘处于一种相对健康的状态,值得它顺应市场潮流;第二,Mozilla 似乎正在极力将用户推向自己的服务。
上个月,火狐浏览器最新版本发布,该公司已开始推出隐私友好功能即ETP(追踪增强保护),作为和 Chrome 浏览器的关键不同之处。
如果真的想要以隐私脱颖而出,那么 Mozilla 最好能够确保这项新技术不存在可以导致攻击者反其道而行之搜刮用户个人数据的漏洞。这也可能是漏洞奖励金提升的原因之一吧。
值得注意的是,火狐浏览器自1.0版本以来,已过去了15年。在这段时间里我们也见证了 IE 浏览器如何止步不前,而造成这种结果的原因基本上是因为漏洞太多。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。