苹果将漏洞赏金计划扩展到所有操作系统,最高奖金提升到100万美元

苹果公司在最近的黑帽会议上证实,漏洞赏金系统已经扩展到苹果的其他操作系统,最高奖金提升到100万美元。

在此之前,苹果公司将其漏洞赏金计划限制在iOS上,并限制可以参与该计划的人。苹果公司安全架构主管IvanKrstic在黑帽会议上宣布的第一个重大改变就是,该计划将扩展到苹果的所有平台,包括macOS、watchOS、tvOS和iCloud。第二个改变就是项目将在今年秋天向所有安全研究人员开放。

苹果公司在会议上还分享了新的奖金清单,奖金金额随攻击的难度而提高,最高奖金将高达100万美元,而最初的 iOS 赏金计划最高为 20万美元。奖金金额随攻击的难度而提高。

  • 发现允许绕过锁屏密码或未经授权访问 iCloud 的漏洞将支付 10万美元奖金。
  • 发现允许通过用户安装的应用或通过网络进行攻击的漏洞,最高可支付 25 万美元奖金,同时发现在无用户交互的网络攻击的漏洞可支付高达 100 万美元奖金。
  • 发现具有持久性的零点击内核代码执行漏洞可支付100万美金。
  • 此外,如果研究人员在发布前测试版本(在发布之前向 Apple 报告)中发现漏洞,他们将获得高达 50% 的奖金。

苹果还详细介绍了将于明年推车的新的iOS安全研究设备计划,该设备将对所有人开放,只要申请人有”高质量系统安全研究的记录”。

这个设备是一个特殊的iPhone,将具有更多的设置与权限,以提供更多的访问iOS的内部工作,此举可以帮助增加在测试版或公共发布软件出现之前捕获问题的数量。