苹果抓漏专案风评差：封闭、付款慢、修补也慢

《华盛顿邮报》（The Washington Post）采访了逾20名安全研究人员，指出苹果的抓漏专案风评并不佳，研究人员抱怨苹果不但封闭、支付奖金的动作慢、所支付的金额经常与研究人员的期望有所落差，而且经常很久才修补。

苹果于2016年开始实施抓漏奖励专案，当时该专案只适用于iOS及iCloud，一直到2019年才扩大至macOS、watchOS与Apple TV，单一漏洞的最高奖金为100万美元。

其中有一名39岁的安全研究人员Cedric Owens表示，他在今年提交了一些有关macOS的安全漏洞，虽然他所提出的概念性验证程式无法存取通讯录、邮件、讯息等机密资料，但他认为骇客应该可借由相关漏洞存取受害者的档案，对于未经授权即可存取机密资料的macOS漏洞，苹果理应提供10万美元的奖金，但Owens只拿到5,000美元的奖金。

另一名安全研究人员Nicolas Brunner，则是发现苹果的位置追踪系统含有安全漏洞，就算使用者关闭了追踪，他所开发的程式依然能够看到这些使用者的踪迹，在向苹果提报之后，苹果谢了他，还说会把漏洞的发现归功于他，Brunner预期自己可收到5万美元的奖励，结果苹果在8个月之后告诉他该漏洞不符领奖资格。

不过，有一名年仅21岁的安全研究人员Sam Curry，从去年夏天才开始呼朋引伴地一起钻研苹果的平台漏洞，且平均每几天就会提交新漏洞，他们这个5人团队一年来就获得苹果颁发的50万美元奖金，占苹果总奖金的13%。只是，Curry也说，跟其它提供抓漏奖励的企业相较，苹果支付奖金的时间拖太久了。

另一名iOS软件工程师Tian Zhang从2017年起，就向苹果提报iOS的安全漏洞，当他发现苹果直至好几个月之后还不修补，便把漏洞公诸于世，还有几次苹果修补了他所提报的漏洞，但完全没有回应也未奖励他。

至于苹果的封闭，则是来自于苹果不太愿意与安全研究人员讨论漏洞未符合资格，或者是奖金规模的判别标准，而且苹果提供给研究人员的iPhone上仍有层层的安全限制，也让研究受限。

苹果今年已经聘请了一名新的主管来负责抓漏专案，目的就是要进行改革，或许能够改善苹果在安全社群的名声。