苹果推出 macOS 漏洞奖励计划，最高赏金100万美元

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

苹果公司不久之后将向所有安全研究人员开放漏洞奖励计划。当前苹果漏洞奖励计划仅针对 iOS 漏洞，且仅向获批准的研究人员开放。自从2016年推出以来，最高赏金一直针对的是安全启动固件组件中的漏洞，20万美元。

苹果安全工程和架构负责人在周四宣布称，今年秋季漏洞奖励计划将面向更多的研究员。首先，赏金计划针对包括 macOS、watchOS和tvOS 在内的更多目标。另外将提高赏金。如果攻击者无需用户交互就能执行代码（持久性零点击内核代码执行），则能够获得最高赏金100万美元。如果攻击者能够在物理访问设备或在用户点击情况下利用漏洞，则获得10万至25万美元。

除了这些赏金外，苹果还为从预发布版本中找到漏洞的研究员发放50%的奖金。

苹果漏洞奖励计划的另外一个新颖之处在于，专门为研究人员提供没有像消费者级别 iPhone 那样具有 SSH 访问权限、默认 root shell 和高级调试功能的多个保护层的 iPhone。

只有受邀研究员才能够访问这些设备，它是该公司向卓越的研究人员开放的“iOS 安全研究设备”计划。这种特殊的 iPhone 手机被称为“dev-fused”（即预越狱设备），已存在多年的时间。它们通常供内部使用访问敏感的内部组件的安全，如用于加密 iPhone 数据的安全封存进程。

不过，某些iPhone 手机是被偷运出工厂并落入漏洞研究员之手的。借此研究员能够研究设备的内部结构并找到能进入灰色市场的 0day 漏洞。

苹果在Black Hat USA 2019 大会上表示，将从明年开始把批准的安全性更弱的 iPhone 手机变体分发给安全研究员。

原文链接

https://www.bleepingcomputer.com/news/security/apple-opens-its-invite-only-bug-bounty-program-to-all-researchers/

https://www.zdnet.com/article/apple-expands-bug-bounty-to-macos-raises-bug-rewards/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”