蘋果公司近日宣布對(duì)其安全賞金計(jì)劃進(jìn)行重大升級(jí),最高基礎(chǔ)獎(jiǎng)金直接翻倍至200萬美元,這一金額不僅刷新了行業(yè)紀(jì)錄,更成為當(dāng)前全球范圍內(nèi)已知的最高安全獎(jiǎng)勵(lì)標(biāo)準(zhǔn)。若發(fā)現(xiàn)特殊漏洞,研究人員最高可獲得500萬美元的獎(jiǎng)金,顯示出蘋果在提升系統(tǒng)安全性方面的決心。
自十年前啟動(dòng)漏洞賞金計(jì)劃以來,蘋果始終以高額獎(jiǎng)金吸引全球安全研究人員。2016年,最高獎(jiǎng)金為20萬美元;2019年,這一數(shù)字提升至100萬美元。截至目前,蘋果已向800多名研究人員支付超過3500萬美元的獎(jiǎng)勵(lì)。蘋果安全工程與架構(gòu)副總裁伊萬·科爾斯蒂奇表示,設(shè)立數(shù)百萬美元獎(jiǎng)金的目的是讓頂尖研究人員的技術(shù)能力和時(shí)間投入得到充分回報(bào),尤其是那些能破解復(fù)雜威脅、模擬商業(yè)監(jiān)控軟件攻擊手法的研究者。
此次升級(jí)中,蘋果不僅將最高基礎(chǔ)獎(jiǎng)金翻倍,還為發(fā)現(xiàn)繞過鎖定模式和測(cè)試版軟件漏洞的研究人員提供額外獎(jiǎng)勵(lì),使最高金額突破500萬美元。同時(shí),其他多個(gè)漏洞類別的獎(jiǎng)勵(lì)標(biāo)準(zhǔn)也大幅上調(diào)。例如,徹底繞過Gatekeeper和實(shí)現(xiàn)未經(jīng)授權(quán)的iCloud訪問的懸賞金額分別提升至10萬美元和100萬美元。蘋果擴(kuò)展了賞金類別,成功發(fā)現(xiàn)一鍵式WebKit沙盒逃逸可獲30萬美元獎(jiǎng)勵(lì),發(fā)現(xiàn)任何無線電實(shí)現(xiàn)的無線近距離漏洞則獎(jiǎng)勵(lì)高達(dá)100萬美元。
為提升獎(jiǎng)勵(lì)效率,蘋果推出了目標(biāo)標(biāo)記Target Flags機(jī)制。研究人員可通過這一新方式客觀證明某些頂級(jí)賞金類別(如遠(yuǎn)程代碼執(zhí)行、透明度、同意和控制繞過)的可利用性,從而幫助判定獎(jiǎng)勵(lì)資格。提交帶有Target Flags報(bào)告的研究人員將獲得加速獎(jiǎng)勵(lì),研究被接收和驗(yàn)證后即可立即處理獎(jiǎng)勵(lì),無需等待修復(fù)發(fā)布。
蘋果在安全領(lǐng)域的投入不僅限于賞金計(jì)劃。2022年,公司設(shè)立了1000萬美元的網(wǎng)絡(luò)安全資助金,用于支持民間社會(huì)組織調(diào)查高度定向的雇傭監(jiān)控軟件攻擊。上個(gè)月,隨著iPhone17的推出,蘋果新增了內(nèi)存完整性強(qiáng)制保護(hù)功能,旨在增強(qiáng)設(shè)備抵御常見軟件漏洞的能力。為此,蘋果宣布向民間社會(huì)組織提供1000部iPhone17,分配給面臨高風(fēng)險(xiǎn)的特殊群體,尤其是可能成為商業(yè)監(jiān)控軟件攻擊目標(biāo)的成員。
蘋果表示,此次安全賞金計(jì)劃更新將于2025年11月生效,屆時(shí)將在Apple Security Research網(wǎng)站上完整公布新增及擴(kuò)展的賞金類別、獎(jiǎng)勵(lì)標(biāo)準(zhǔn)和獎(jiǎng)金細(xì)則。
