智东西(公众号:zhidxcom)
编| 李水青

导语:苹果针对设备安全出连招,破获漏洞者最高赢100万美元。

智东西8月9日消息,苹果在2019年黑帽技术大会上宣布扩展其“漏洞赏金计划”,最高赏金达到100万美元。苹果宣布该计划适用于macOS、watchOS和tvOS。

黑帽技术大会主要探讨关于信息安全的热点话题。三年前,苹果首次在2016年黑帽技术大会上推出其漏洞赏金计划,计划主要针对iOS漏洞。

据称,该计划将向所有安全研究人员开放。每个人都能够向苹果报告安全漏洞,并获得金钱奖励。奖励金额因漏洞的影响及其可能造成的损害而异。

一、最高赏金100万美元,iOS、macOS都覆盖

今天,在黑帽技术大会的舞台上,苹果公司的安全负责人Ivan Krstić鼓励黑客们积极探索其漏洞,赏金还会据情况再提高。

之前,苹果公司为单个漏洞支付的最高赏金额为20万美元。要得到20万美元的赏金,需要满足以下条件:1、完全控制iOS设备。2、无需用户配合点击。3、远程操作。4、在iOS内核中执行的代码。

从今年秋季开始,这个最高奖励将提至100万美元。并且,不仅仅适用于iOS系统,macOS系统也同样适用。

二、为预发布版本的漏洞发现者提供50%的赏金

除此之外,还有其它类型的漏洞和场景可供漏洞探索者选择,同样有机会因单个错误报告获得50万美元,如下图所示:

苹果悬赏百万美元喊你找Bug!样板机变废为宝供黑客测试

除了对已发布系统漏洞发现的悬赏,苹果还有涉及预发布版本的漏洞发现提供50%的赏金。通过这一方案,苹果希望能将“漏洞萌芽”扼杀在摇篮里,以免进入最终版本。

如果这些漏洞未被提前发现,将可能导致对广大用户的真实攻击,并且,修补易受攻击的版本将可能需要几周甚至几个月。

三、iOS安全研究设备计划:样板机的“新用途”

此外,正如福布斯本周报道的那样,苹果公司还推出了一项安全研究计划。通过该计划,苹果将为一组iOS研究人员提供更容易入侵的特殊iPhone,以供其进行研究。

苹果多年来都会制造这类特殊的iPhone用以测试。这些机器禁用了大多数安全功能,为测试而生。在测试完成后,这些机器往往以最终版定版并拿去量产。

但这些样板机却会从某些工厂流入市场。大多数这类设备最终进入黑市,常常落入中间商或零售商的手中,以高昂的价格出售。

现在,Apple将把这些样板机提供给一批白帽安全研究人员。这些研究人员可以有目的地访问这些特殊的iPhone,以帮助查找其代码中的错误。

根据Krstić演示的截图,使用这些特殊的iPhone,研究人员将可以对ssh防护程序、Root Shell和高级调试功能进行访问,这在常规设备中是不可用的。

不同于其它的bug赏金方案,iOS安全研究设备程序方案,仅限被邀请的人员参与。

文章来源:ZDNet