山東
蘋果近日宣布,對其安全獎勵計劃(Bug Bounty Program)進行重大升級,將發現并報告頂級漏洞的最高獎勵金額提升至 200 萬美元,相比此前直接翻倍。此舉旨在吸引全球安全研究人員,共同應對日益復雜的網絡攻擊威脅。
此次調整不僅提高了基礎獎勵金額,還引入了額外獎金機制。研究人員如果發現的漏洞能夠繞過蘋果的「鎖定模式」(Lockdown Mode),或是在測試版(beta)軟件中被捕獲,還可獲得額外獎勵。
蘋果表示,在疊加各類獎金后,單次支付的總金額可能超過 500 萬美元,并稱這是目前所有同類獎勵計劃中最高的價碼。
蘋果此次更新的核心變化在于,獎勵重點從單個漏洞轉向了完整攻擊鏈的挖掘。現實中,復雜的網絡攻擊往往通過串聯多個漏洞發起,形成一系列組合攻擊。因此,蘋果大幅提高了遠程攻擊漏洞的獎金,而那些在實際攻擊中不常見的漏洞類型則相應降低了獎勵金額。
為提高漏洞驗證效率,蘋果還引入了全新的 「目標旗幟」(Target Flags) 機制。這一設計靈感來源于網絡安全競賽中的 「奪旗賽」,研究人員在成功利用漏洞并達到特定權限(如執行代碼或任意讀寫數據)時,可以捕獲一個「旗幟」。
該旗幟將由蘋果快速驗證,一旦通過,研究人員會立即收到獲獎通知,獎金也將在下一個支付周期發放。相比以往需要等待數月直到蘋果發布補丁才能拿到獎金的流程,這一機制極大縮短了獎勵周期。
除了流程優化,蘋果還擴大了獎勵范圍,并提升了某些高價值漏洞的獎金。例如:
- ? 繞過 WebKit 沙盒的漏洞:最高獎勵提升至 30 萬美元;
- ? 通過無線電技術實現的近距離漏洞攻擊:最高可獲 100 萬美元;
- ? 完全繞過 macOS「門禁」(Gatekeeper)安全機制的漏洞:獎勵提升至 10 萬美元。
蘋果希望通過這些高額獎勵,吸引更多頂尖安全研究人員提交關鍵漏洞,進一步強化系統安全。
這項更新的獎勵計劃將從 2025 年 11 月起正式生效。自從 2020 年起,蘋果將安全獎勵計劃向公眾開放以來,已向 800 多名研究人員支付了超過 3500 萬美元的獎金。
通過數百萬美元的懸賞換取數十億用戶的安全,這無疑是一筆劃算的買賣,也再次表明了蘋果對用戶隱私和系統安全的高度重視,而高安全性,也一直是 iOS 等系統的核心競爭力之一。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
