10 月 10 日消息,蘋果今天在官網“安全研究”板塊發布新博客,宣布對安全漏洞賞金計劃進行重大升級,引入“終點旗”系統,讓研究人員能客觀展示漏洞利用成果,賺取更豐厚的獎勵,新計劃將于今年 11 月開始生效。
蘋果表示,本次革新將提供“業內最豐厚的獎金”,對能達到“雇傭級間諜軟件攻擊”的復雜漏洞利用鏈提供翻倍的 200 萬美元(IT之家注:現匯率約合 1426.3 萬元人民幣)獎金;針對鎖定模式漏洞及測試版軟件漏洞提供疊加獎金,最高可超 500 萬美元(現匯率約合 3565.7 萬元人民幣)。
全新的賞金計劃相比以往針對單個漏洞更注重完整漏洞利用鏈,因為現實中的攻擊行為往往是利用多個漏洞實行“連環套”,同時還會評估漏洞的實際應用價值,下調現實中較少見漏洞類別的獎金。
同時此次革新還引入了源自網安領域的“終點旗”系統,研究者可通過系統內置的旗幟機制,直接展示出漏洞的寄存器控制、任意讀寫、執行代碼等危害,一旦研究人員突破了這些旗幟并經蘋果驗證,就能立即知道是否獲獎,無需等到修復漏洞發布。
蘋果還表示,自 2020 年以后就沒有人報告過完整的 Gatekeeper 漏洞,因此他們決定將對首次成功實現無需交互的完整繞過漏洞提供 10 萬美元(現匯率約合 71.3 萬元人民幣)獎勵;同時將從 10 月 31 日起向民間安全組織贈送 1000 部安全研究版 iPhone 17,更好地防范間諜軟件攻擊。