智东西(公众号:zhidxcom)编 | 李水青
导语:苹果针对设备安全出连招,破获漏洞者最高赢100万美元。
智东西8月9日消息,苹果在2019年黑帽技术大会上宣布扩展其“漏洞赏金计划”,最高赏金达到100万美元。苹果宣布该计划适用于macOS、watchOS和tvOS。
黑帽技术大会主要探讨关于信息安全的热点话题。三年前,苹果首次在2016年黑帽技术大会上推出其漏洞赏金计划,计划主要针对iOS漏洞。
据称,该计划将向所有安全研究人员开放。每个人都能够向苹果报告安全漏洞,并获得金钱奖励。奖励金额因漏洞的影响及其可能造成的损害而异。
一、最高赏金100万美元,iOS、macOS都覆盖
今天,在黑帽技术大会的舞台上,苹果公司的安全负责人Ivan Krsti鼓励黑客们积极探索其漏洞,赏金还会据情况再提高。
之前,苹果公司为单个漏洞支付的最高赏金额为20万美元。要得到20万美元的赏金,需要满足以下条件:1、完全控制iOS设备。2、无需用户配合点击。3、远程操作。4、在iOS内核中执行的代码。
从今年秋季开始,这个最高奖励将提至100万美元。并且,不仅仅适用于iOS系统,macOS系统也同样适用。
二、为预发布版本的漏洞发现者提供50%的赏金
除此之外,还有其它类型的漏洞和场景可供漏洞探索者选择,同样有机会因单个错误报告获得50万美元,如下图所示:
除了对已发布系统漏洞发现的悬赏,苹果还有涉及预发布版本的漏洞发现提供50%的赏金。通过这一方案,苹果希望能将“漏洞萌芽”扼杀在摇篮里,以免进入最终版本。
如果这些漏洞未被提前发现,将可能导致对广大用户的真实攻击,并且,修补易受攻击的版本将可能需要几周甚至几个月。
三、iOS安全研究设备计划:样板机的“新用途”
此外,正如福布斯本周报道的那样,苹果公司还推出了一项安全研究计划。通过该计划,苹果将为一组iOS研究人员提供更容易入侵的特殊iPhone,以供其进行研究。
苹果多年来都会制造这类特殊的iPhone用以测试。这些机器禁用了大多数安全功能,为测试而生。在测试完成后,这些机器往往以最终版定版并拿去量产。
但这些样板机却会从某些工厂流入市场。大多数这类设备最终进入黑市,常常落入中间商或零售商的手中,以高昂的价格出售。
现在,Apple将把这些样板机提供给一批白帽安全研究人员。这些研究人员可以有目的地访问这些特殊的iPhone,以帮助查找其代码中的错误。
根据Krsti演示的截图,使用这些特殊的iPhone,研究人员将可以对ssh防护程序、Root Shell和高级调试功能进行访问,这在常规设备中是不可用的。
不同于其它的bug赏金方案,iOS安全研究设备程序方案,仅限被邀请的人员参与。
文章来源:ZDNet
热门跟贴