【猎云网(微信号:ilieyun)】8月9日报道 (编译:叶展盛)
大约在三年前,苹果开始为发现iOS系统未知漏洞的安全研究员提供奖金。今日,它宣布将macOS、watchOS和tvOS等操作系统的设备也加入悬赏项目。除此之外,如果研究员发现了特别重要的安全问题,那么这家公司将提供最高100万美元的奖金,相比将漏洞留在自己手里,这份巨额奖金应该更有吸引力。
近日,苹果于拉斯维加斯的年度黑帽安全大会上公布了这一消息,公司安全开发人员Ivan Krstić公布了漏洞悬赏项目的最新变化。之前出现的“零点击攻击”只需要知道用户的手机号码就能完全操作他的iPhone内核,只要能够举报这个级别的漏洞,那么就能获得苹果提供的100万美元奖金——之前这类漏洞还只奖励20万美元。当然如果发现的漏洞没那么严重,奖金的数额也会适当减少。
对于苹果而言,之前的悬赏金额不高,导致一些安全研究员宁可将发现的漏洞贩卖给私人组织——例如Grayshift和Cellebrite,最终这些组织会通过苹果设备的漏洞来盈利。为了鼓励主动举报漏洞,如果能在测试版(而非正式发布版)中发现问题,苹果还会再增加50%的额外奖励。明年,苹果还会为部分“可靠且经过审核” 的研究员提供预先越狱的iPhone,让他们寻找其中的安全薄弱点。
Apple TV、Apple Watch和Mac的用户也会从这次漏洞悬赏项目中获益,以往悬赏的范围主要在苹果iPhone和iPad上。今年二月,德国安全研究员Linus Henze批评了苹果不为Mac的漏洞提供奖金,并公开了一个重要的Mac密码保护漏洞。谷歌的Project Zero项目也参与了这一话题,它表示苹果连续数个月没有修复Mac的重要问题,这无疑是在拿用户的安全去冒险。
今年,由于iPhone和Apple Watch的漏洞,苹果已经连续两次限制FaceTime的访问,这些漏洞可能会泄露用户的隐私,呼叫者可以窃听未接听FaceTime的设备。研究员还发现Mac的英特尔芯片和macOS的应用白名单系统存在安全问题。