苹果公司正大幅提高其漏洞赏金计划的奖金,将针对可被用于间谍软件的复杂漏洞链的最高奖励提升至200万美元,旨在激励顶尖安全研究人员发现并报告其系统中的关键安全问题。此举是苹果更广泛安全策略的一部分,该策略还包括扩大漏洞报告类别和向高风险用户群体(如记者和活动家)捐赠设备,以全面提升其生态系统的安全性。
奖金大幅提升,最高可达500万美元
苹果公司宣布,将针对可被滥用于间谍软件的软件漏洞利用链的最高奖励提升至 200万美元。此举反映了在苹果高度保护的移动环境中,可利用漏洞的巨大价值,以及公司为防止这些发现落入不法之徒之手所做的努力。
- 基础奖励: 针对特定漏洞链的最高奖励为 200万美元。
- 额外奖金: 如果漏洞能够绕过额外的安全保护 Lockdown Mode,或是在软件 Beta 测试阶段被发现,将获得额外奖励。
- 总计最高奖励: 结合所有奖金,一个潜在的灾难性漏洞链的最高奖励现在可达 500万美元。
“我们准备在这里支付数百万美元,这是有原因的,” 苹果安全工程与架构副总裁 Ivan Krstić 表示,“我们希望确保,对于那些最困难、最接近我们所见的商业间谍软件攻击的问题,拥有这些技能和能力的研究人员可以得到巨大的回报。”
自2020年向公众开放以来,该计划已向800多名安全研究人员颁发了超过 3500万美元 的奖金。
计划扩展与创新
除了提高奖金,苹果还扩展了其漏洞赏金计划的范围,以覆盖更多类型的安全威胁。
- 新增漏洞类别:
- 特定类型的“一键式” WebKit 浏览器基础设施漏洞。
- 使用任何类型无线电进行的无线邻近攻击漏洞。
- 引入“目标旗帜” (Target Flags): 这是一种新的测试方式,将“夺旗赛”黑客竞赛的概念应用于苹果软件的真实世界测试中,帮助研究人员快速、明确地展示其漏洞利用的能力。
更广泛的安全承诺
提高漏洞赏金只是苹果为减少危险漏洞或阻止其被利用而进行的众多长期投资之一。公司的目标不仅是保护普通用户,也特别关注那些最容易受到攻击的高风险群体,如活动家、记者和政治家。
- 技术保护: 苹果在新的 iPhone 17 系列中引入了名为 Memory Integrity Enforcement 的安全保护功能,旨在消除最常被利用的一类 iOS 漏洞。
- 保护高风险用户: 公司宣布将向与面临定向数字攻击风险的人士合作的权利组织捐赠 1000部 iPhone 17。
Krstić 强调,尽管这些高级别攻击只针对极少数用户,但保护他们具有重大的道义责任,并且这些安全努力最终会提升所有用户的安全水平。