苹果公司今年 8 月初在拉斯维加斯的黑帽安全大会上宣布了这一举动之后,今天就向所有安全研究人员正式开放了其漏洞赏金计划。
直到今天,苹果公司仅针对选定的安全研究人员运行了基于邀请的漏洞赏金计划,并且仅接受iOS安全漏洞。
从今天开始,该公司将接受范围更广的产品的漏洞报告,这些产品还包括iPadOS,macOS,tvOS,watchOS和iCloud。
此外,根据漏洞利用链的复杂性和严重性,该公司还将其最大的赏金悬赏从200,000美元提高到1,500,000美元。
苹果发布官方规则
为了使其正式生效,苹果公司今天还在其网站上发布了一个新页面,详细介绍了漏洞赏金计划的规则,以及研究人员根据其提交的漏洞获得的奖励明细。
规则非常严格,为获得最高奖励设置了很高的标准。为了获得最高奖项和各种奖金,研究人员必须提交清晰的报告。这些包括:
对所报告问题的详细说明。
使系统进入受影响状态的任何前提条件和步骤。
对所报告问题的合理可靠利用。
苹果需要足够的信息来合理地重现该问题。
新颖的安全漏洞会影响多个平台,使用最新的硬件和软件以及影响敏感的组件,这将为研究人员提供更大的机会来获得最高150万美元的奖励。
Beta版本中发现的漏洞也被高度评价。苹果公司表示,它将为Beta版本中报告的任何错误在常规支出的基础上增加50%的奖金。
Beta版本中的错误受到高度重视的原因是,这些错误报告使Apple能够在其软件正式发布之前修复主要的安全缺陷,这些缺陷将影响数十亿设备。
苹果还将为回归漏洞支付50%的奖金。这些错误是Apple先前在其软件的旧版本中修补的,但后来在代码中不小心将它们重新引入了。
允许零点击或一键攻击的漏洞将为研究人员带来丰厚的收益。但是,苹果要求这些提交类型具有完整的利用链。
如果这些攻击之一使用链接在一起的三个漏洞,研究人员将必须提交完整的漏洞利用链,其中包括所有三个漏洞,而不仅仅是一个-如果他们想获得最大的回报。
Jamf首席安全研究员,苹果安全专家Patrick Wardle今天对ZDNet 表示:“正如一些人所指出的那样,在交付方面,该门槛很高。”
Wardle说:“漏洞赏金计划的最大挑战之一是过滤掉所有低于标准的报告,并知道什么是真实/有效的漏洞以及该漏洞可能带来的影响。”
“因此,要求利用漏洞,是研究人员的责任,但这也将帮助苹果迅速而全面地了解哪些漏洞应该被优先处理并予以修复(首先)。”
下面是苹果安全负责人IvanKrstić的视频,该视频宣布了夏天在黑帽(Black Hat)上苹果的公共漏洞赏金计划(38:05)。可在此处下载Krstić演示文稿文件。下面的视频是支出的图像苹果愿意提供安全研究人员[ 来源 ]。