蘋果宣布旗下 Apple Security Bounty(安全獎金計畫) 迎來重大升級,稱此為該計畫的「新篇章」。據官方說明,蘋果迄今已向超過 800 名資安研究人員發放超過 3,500 萬美元 的獎金,而新制度將大幅提高獎勵規模與涵蓋範圍,進一步激勵針對高階攻擊的安全研究。
本次調整中,蘋果將最高獎金加倍至 200 萬美元(過往最高獎金為 100 萬美元),專門獎勵能「達成與傭兵間諜軟體(mercenary spyware)相同攻擊效果」的漏洞利用鏈(exploit chains)。該公司強調,這筆獎金是「業界前所未有的金額」,也是目前所有公開漏洞獎金計畫中最高額度的一項。
同時蘋果也同步提升多個安全領域的獎勵金額,包括針對完整繞過 Gatekeeper 的漏洞,獎金達 10 萬美元;而針對未經授權的廣泛 iCloud 存取,則設定為 100 萬美元。若研究人員成功發現能繞過 Lockdown Mode 的漏洞或在測試版系統中發現安全缺陷,還可透過獎勵加碼機制讓總獎金上看 500 萬美元以上。
除了金額翻倍,蘋果也擴大了獎勵類別,涵蓋更多潛在攻擊面,例如針對單擊式 WebKit 沙箱逃逸(one-click sandbox escape) 的漏洞可獲最高 30 萬美元,而任何形式的無線近距離攻擊則可獲最高 100 萬美元。
(Source:蘋果官方部落格)
為進一步提升漏洞回報的客觀性與審核效率,蘋果同時推出新的評估機制 Target Flags,讓研究人員能以標準化方式呈現漏洞可利用性(exploitability),特別適用於遠端代碼執行與 Transparency、Consent、Control(TCC) 權限繞過等高階攻擊類別。若研究人員提交的報告包含 Target Flags,將能優先獲得審核與獎金發放,不必等待修補更新釋出。
除了獎金制度,蘋果也公布了新的「社會防護行動」,該公司將提供 1,000 部 iPhone 17 給全球民間組織,協助那些可能遭受傭兵間諜軟體攻擊的高風險用戶,例如人權工作者與媒體成員;這些 iPhone 將搭載 Memory Integrity Enforcement(記憶體完整性防護) 技術,蘋果形容這是「消費級作業系統史上最重大的記憶體安全升級」。
蘋果強調,這項行動延續其 2022 年提供 1,000 萬美元網路安全補助金 的承諾,目標是讓最先進的安全技術不僅保護企業與開發者,更能守護被攻擊風險最高的群體。
據官方說明,這一系列安全獎金制度與新防護計畫將於 2025 年 11 月 正式生效,屆時蘋果將在 Apple Security Research 官方網站公布完整的獎勵分類與加碼細節。
(首圖來源:蘋果)
科技新報粉絲團
加入好友
訂閱免費電子報
