首页 十大品牌文章正文

业内最高水平?苹果宣布单个漏洞最多奖励超1400万元

十大品牌 2025年10月11日 18:23 0 aa
业内最高水平?苹果宣布单个漏洞最多奖励超1400万元

自苹果2020年启动漏洞奖励计划以来,已向800名白帽子支付了约2.49亿元奖金;

苹果称零点击远程入侵漏洞奖励提高至超1400万元,达到业界最高水平(安全内参注:不包括加密货币领域)。

安全内参10月11日消息,苹果公司宣布对其漏洞赏金计划进行重大扩展与重塑,将最高奖金翻倍,增加新的研究类别,并引入更透明的奖励结构。

业内最高水平?苹果宣布单个漏洞最多奖励超1400万元

自2020年该计划启动以来,苹果已向800名安全研究人员支付了3500万美元(约合人民币2.49亿元)奖金,公司曾就部分提交的报告支付过最多50万美元奖励。

单个漏洞最高奖励超1400万元

苹果公司称,现在最高奖励已翻倍至200万美元(约合人民币1427万元),适用于可导致零点击(无需用户交互)远程入侵的漏洞,这类漏洞类似于针对雇佣兵式间谍软件的攻击。

“这是业内前所未有的金额,也是我们所知任何赏金计划中提供的最高奖金。”苹果公司表示,“根据我们的奖金体系,如有人报告绕过锁定模式的方法,或在测试版软件中发现漏洞,将给予额外奖励。在这种情况下,奖金可能不止翻倍,最高支付额可超过500万美元。”

在新的漏洞奖励计划方案下,增加或新增的奖金项目还包括:

  • 一次点击(需用户交互)远程攻击:100万美元。
  • 无线近距离攻击:100万美元。
  • 大规模未授权iCloud访问:100万美元。
  • 导致未签名任意代码执行的WebKit漏洞链:100万美元。
  • 在设备被锁定且攻击者具备物理接触的情况下实施的攻击:50万美元。
  • 应用沙箱逃逸:50万美元。
  • 一次点击的WebKit沙箱逃逸:30万美元。
  • 在无用户交互情况下完全绕过macOSGatekeeper:10万美元。
  • 对低影响但有效报告的“鼓励奖”:1000美元。

威胁形式严峻倒逼苹果加大安全投入

苹果公司指出,目前从未收到能证明在无用户交互情况下完全绕过Gatekeeper或实现大规模未授权iCloud访问的报告,因此这两类是对漏洞赏金猎人来说难度极高的目标。

苹果还表示,“从未观察到纯粹通过无线近距离执行的真实世界零点击攻击”,这对应了此前由25万美元提升至100万美元的“无线近距离”奖励。

该类别的覆盖范围也在扩展,现在包括苹果自研的芯片,例如C1与C1X调制解调器以及N1无线芯片。

面向2026年,苹果计划向处于较高风险、可能成为雇佣兵式间谍软件目标的民间社会组织成员分发1000部经安全加固的iPhone 17设备。

同一批设备也将于明年用于苹果的安全研究设备计划,安全研究人员可在10月31日前提交申请。

苹果预计,奖金提高将对间谍软件厂商开发复杂攻击链产生额外抑制效果,因为研究人员会更有动力发现并上报安全问题。

为保护用户免受复杂间谍软件攻击,苹果在iOS中实施了锁定模式与内存完整性强制保护等先进防护措施,这些措施提高了研发与执行隐蔽间谍软件攻击的成本。

参考资料:bleepingcomputer.com

相关文章

发表评论

长征号 Copyright © 2013-2024 长征号. All Rights Reserved.  sitemap