近日,国际手机制造商苹果公司正式面向所有安全领域的开发者启动了其最新的漏洞提交奖励计划。苹果将奖金上限从 20 万美元上调到了 150 万美元,具体能获得的奖金将按照漏洞利用链的复杂及严重程度来确定最终数额。
苹果安全工程与架构负责人 Ivan Krstić 在今年 8 月举行的美国黑帽安全大会上曾公布过这项新计划。在此之前,苹果从 2016 年开始施行的漏洞提交奖励计划,是定向邀请制而不是全面开放的,并且只接受提交 iOS 系统相关的安全漏洞。也许是受到旧奖励计划奖金不够高的影响,过去开发者们对提交漏洞并不是非常积极。
在新的漏洞提交奖励计划中,接受安全漏洞提交所覆盖的范围已扩展至更多苹果相关产品,其中包括 iPadOS、macOS、tvOS、watchOS 等系统以及 iCloud。为了正式说明相关细则,苹果在其官方网站上专门发布了一份新的说明文档,详细介绍了其漏洞提交奖励计划的每项规则,并列出了每一类安全漏洞所对应的奖金范围。
根据说明文档来看,新计划的各项要求均较为严格,最高奖励的门槛设置得非常高。开发者们要想获得高额奖金和各种不同的奖项,就必须要提交
描述清晰、细节明了的漏洞报告。
完整报告所需要的内容包括以下这些:
- 关于所提交漏洞的详细描述;
- 使对应的系统达到受漏洞影响状态的任何先决条件与步骤;
- 针对所提交漏洞的合理可靠的恶意代码;
- 可帮助苹果官方团队有效复现相关问题的全部信息。
报告那些「一次点击」甚至是「无需点击」就能发动的漏洞攻击,可为提交者带来大量奖金,但苹果针对这些漏洞报告会要求将完整的漏洞利用链一并提交上来。这些漏洞的报告需要额外包含以下内容:
- 编译版本和源版本都包含在内;
- 进行漏洞攻击所需要的全部条件;
- 如有必要,需提供一个非破坏性的恶意程序样本。
苹果安全团队还对具有以下特性的安全问题格外感兴趣:
- 可影响多个不同平台的漏洞;
- 可影响最新的公开软硬件的漏洞;
- 针对新功能,或开发者测试版、公开测试版代码的稀有漏洞;
- 影响敏感组件的漏洞;
- 新出现的漏洞。
报告上述相关的漏洞,就有更大的机会赢得最高 150 万美元的奖金。目前,奖金最高的漏洞是「无需用户介入即可发动的网络攻击」类别下的「Zero-click kernel code execution with persistence and kernel PAC bypass」漏洞,其奖金金额为 100 万美元。
此外,苹果对测试版的产品中出现的漏洞也非常重视,提交测试版产品漏洞的开发者将有机会在常规奖金之外,再获得最高 50% 比例的额外奖励。这是因为这些漏洞的提交可以帮助苹果在其相关软件正式发布之前,就先修复好那些致命的漏洞并改善系统安全性,从而避免成千上万的苹果用户以及数十亿的苹果设备遭受损失。
对于那些在旧版本软件中已经修复,但在后续版本软件中又重新出现的漏洞,苹果同样也会给予最高 50% 的额外奖励。
如果一次攻击利用了三个安全漏洞,那么提交者就必须要在漏洞报告中将涉及全部安全隐患的漏洞利用链都附上,否则将无法获得最高奖励。
据相关的安全专家介绍,漏洞提交奖励计划的实施难点,在于如何界定有效与无效漏洞的标准,明确漏洞所造成的真实影响,以及如何过滤掉所有低于设定标准的次要漏洞报告。
尽管一项「漏洞提交奖励计划」其实是把责任间接交给了安全领域的开发者们,但这也确实能让苹果的安全团队能够以更快的速度发现这些漏洞,为其修补工作安排优先级,并集中精力修复那些影响最大、最关键的安全漏洞,消除潜在的安全隐患。对于苹果来说,要想全面地推行这项新计划并改变其在安全领域开发者们心中的刻板印象,或许还要花费更多的时间。
ios
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。