查看原文
其他

苹果推出 macOS 漏洞奖励计划,最高赏金100万美元

综合编译 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

苹果公司不久之后将向所有安全研究人员开放漏洞奖励计划。当前苹果漏洞奖励计划仅针对 iOS 漏洞,且仅向获批准的研究人员开放。自从2016年推出以来,最高赏金一直针对的是安全启动固件组件中的漏洞,20万美元。

更高的赏金

苹果安全工程和架构负责人在周四宣布称,今年秋季漏洞奖励计划将面向更多的研究员。首先,赏金计划针对包括 macOS、watchOS和tvOS 在内的更多目标。另外将提高赏金。如果攻击者无需用户交互就能执行代码(持久性零点击内核代码执行),则能够获得最高赏金100万美元。如果攻击者能够在物理访问设备或在用户点击情况下利用漏洞,则获得10万至25万美元。

除了这些赏金外,苹果还为从预发布版本中找到漏洞的研究员发放50%的奖金。

iOS 安全研究设备计划仅针对受邀研究员

苹果漏洞奖励计划的另外一个新颖之处在于,专门为研究人员提供没有像消费者级别 iPhone 那样具有 SSH 访问权限、默认 root shell 和高级调试功能的多个保护层的 iPhone。

只有受邀研究员才能够访问这些设备,它是该公司向卓越的研究人员开放的“iOS 安全研究设备”计划。这种特殊的 iPhone 手机被称为“dev-fused”(即预越狱设备),已存在多年的时间。它们通常供内部使用访问敏感的内部组件的安全,如用于加密 iPhone 数据的安全封存进程。

不过,某些iPhone 手机是被偷运出工厂并落入漏洞研究员之手的。借此研究员能够研究设备的内部结构并找到能进入灰色市场的 0day 漏洞。

苹果在Black Hat USA 2019 大会上表示,将从明年开始把批准的安全性更弱的 iPhone 手机变体分发给安全研究员。

 



推荐阅读

Black Hat USA 2019 议题一览(下)

BlackHat |微软发布 Azure 安全实验室新测试环境,最高赏30万美元



原文链接

https://www.bleepingcomputer.com/news/security/apple-opens-its-invite-only-bug-bounty-program-to-all-researchers/

https://www.zdnet.com/article/apple-expands-bug-bounty-to-macos-raises-bug-rewards/





题图:Pixabay License




本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存