挖出一个普通漏洞,最高奖励200万美元(1420万人民币)。
挖到一个特殊漏洞,奖金更是高达500万美元(3560万人民币)。
苹果这次在安全投入上,真是下血本了。
以上,是苹果全新升级的安全赏金计划。
苹果公司亲自发声强调:
此次我们将最高基础奖金翻倍至200万美元,这不仅在业内前所未有,更是目前所有已知赏金计划中金额最高的。
但这个漏洞可不是普通的漏洞,而是能达到与复杂商业监控软件攻击同等危害程度的漏洞。
下面具体来看。
提高了多项漏洞类别的奖励金额
自近十年前启动漏洞赏金计划以来,苹果始终以设置高额的最高奖金著称,2016年达20万美元,2019年增至100万美元。
截至目前,该计划已向800多名研究人员支付了超过3500万美元(2.5亿)的奖励。
对此,苹果安全工程与架构副总裁Ivan Krstić表示:
我们设立了高达数百万美元的奖金,其用意十分明确。
我们希望那些能破解最棘手漏洞、应对最复杂威胁,特别是能模拟商业监控软件攻击手法的顶尖研究人员,能因其相应技术能力和时间精力获得与之匹配的丰厚回报。
此次升级安全赏金计划,苹果将最高基础奖金一下翻倍至200万美元,就可见其对于自身安全系统的重视程度。
不仅如此,苹果还在基础奖金上进一步加码,为发现绕过锁定模式和测试版软件的漏洞提供额外奖金,这使得最高金额将突破500万美元。
除了创纪录的最高奖金,苹果也上调了其他多个漏洞类别的奖励标准,进一步激励安全研究社区投入关键技术领域的探索。
例如,针对两个自发布以来尚未被成功攻破的领域——彻底绕过Gatekeeper和实现未经授权的iCloud访问,悬赏金额已分别提升至10万与100万美元。
此外,苹果为覆盖更多攻击面,还进一步扩展了赏金类别。成功发现一键式WebKit沙盒逃逸,可获30万美元的奖励,发现任何无线电实现的无线近距离漏洞,奖励甚至高达100万美元。
除了发现漏洞有奖励外,苹果还推出了目标标记Target Flags,这是一种让研究人员能够客观证明某些顶级赏金类别(包括远程代码执行、透明度、同意和控制(TCC)绕过)可利用性的新方式,并帮助判定特定奖励的资格。
提交带有Target Flags报告的研究人员将有资格获得加速奖励,在研究被接收和验证后即可立即处理奖励,哪怕修复尚未发布。
2022年,苹果设立了1000万美元网络安全资助金,用于支持民间社会组织调查那些高度定向的雇佣监控软件攻击。
上个月,随着iPhone17的推出,一项安全防护功能也应运而生——内存完整性强制保护,旨在增强iPhone抵御最常见且最常被利用的软件漏洞的能力。
为此,苹果宣布将向民间社会组织提供一千部iPhone 17,这些设备将分配给面临高风险的特殊群体,其中特别包括可能成为商业监控软件攻击目标的民间社会成员。
最后,苹果表示,此次更新将于2025年11月生效,届时还将在Apple Security Research网站上完整公布新增及扩展的赏金类别、奖励标准和奖金细则。
让我们拭目以待吧~
参考链接:
[1]https://9to5mac.com/2025/10/10/apple-announces-major-evolution-of-its-security-bounty-program-2-million-top-award-more/
[2]https://www.wired.com/story/apple-announces-2-million-bug-bounty-reward/
[3]https://security.apple.com/blog/apple-security-bounty-evolved/
本文来自微信公众号“量子位”,作者:时令,36氪经授权发布。
