苹果近期在正式“安全研究”板块发布新博客,宣布对安全漏洞赏金计划进行重大升级,引入“终点旗”系统,让研究人员能客观展示漏洞利用成果,赚取更丰厚的奖励,新计划将于今年 11 月开始生效。
苹果表示,本次革新将提供“业内最丰厚的奖金”,对能达到“雇佣级间谍软件攻击”的复杂漏洞利用链提供翻倍的 200 万美元(现汇率约合 1426.3 万元人民币)奖金。针对锁定模式漏洞及测试版软件漏洞提供叠加奖金,最高可超 500 万美元(现汇率约合 3565.7 万元人民币)。
全新的赏金计划相比以往针对单个漏洞更注重完整漏洞利用链,因为现实中的攻击行为往往是利用多个漏洞实行“连环套”,同时还会评估漏洞的实际应用价值,下调现实中较少见漏洞类别的奖金。
同时此次革新还引入了源自网安领域的“终点旗”系统,研究者可通过系统内置的旗帜机制,直接展示出漏洞的寄存器控制、任意读写、执行代码等危害,一旦研究人员突破了这些旗帜并经苹果验证,就能立即知道是否获奖,无需等到修复漏洞发布。
苹果还表示,自 2020 年以后就没有人报告过完整的 Gatekeeper 漏洞,因此他们决定将对首次成功实现无需交互的完整绕过漏洞提供 10 万美元(现汇率约合 71.3 万元人民币)奖励;同时将从 10 月 31 日起向民间安全组织赠送 1000 部安全研究版iPhone 17,更好地防范间谍软件攻击。
