苹果最终给了安全研究人员多年来他们想要的东西:macOS bug赏金。该技术巨头周四表示,它将推出bug赏金计划,包括Mac和MacBooks,以及Apple TV和Apple Watch,差不多三年后它推出了针对iOS的bug赏金计划。这个想法很简单:你发现了一个漏洞,你向苹果公司披露了这个漏洞,他们会修复它 - 作为回报,你会获得现金付。这些计划是在科技行业非常流行,因为它有助于提供资金,以换取严重的安全漏洞的安全研究人员,否则会被恶意攻击者使用,也有助于填补漏洞发现者的空白出售他们的漏洞利用中间商,并在黑市,谁可能滥用这些缺陷进行监视。
但是苹果公司已经拖延了对其计算机系列推出的一个漏洞赏金。一些安全研究人员在没有漏洞奖励的情况下拒绝向Apple报告安全漏洞。
在拉斯维加斯举行的黑帽大会上,安全工程和架构负责人IvanKrstić宣布该计划将与其现有的iOS bug奖励一起运行。
Jamf的安全专家兼主要安全研究员帕特里克·沃德尔说,此举是“毫无疑问”。
Wardle已经发现了几个主要的安全漏洞并且没有发布零天- 这些漏洞的细节在不允许公司有机会修复的情况下发布 - 引用缺少macOS漏洞奖励。他长期以来一直批评苹果公司没有获得漏洞奖励,指责该公司为安全研究人员留下空白,以便利用他们的漏洞利用经常因恶劣原因使用这些漏洞的经纪人。
“当然,他们聘请了许多令人难以置信的有才华的研究人员和安全专业人员 - 但他们仍然没有真正与外部独立研究人员建立透明的互利关系,”沃德尔说。
“当然这对苹果来说是一场胜利,但最终这对苹果的终端用户来说是一个巨大的胜利,”他补充道。
Apple表示将向所有研究人员开放其bug赏金计划,并将奖金的规模从目前最高的每次开发200,000美元增加到100万美元,用于持久性的零点击,全链内核代码执行攻击 - 换句话说,如果攻击者可以在没有任何用户交互的情况下完全控制手机,只需知道目标的电话号码即可。
Apple还表示,任何发现在发布之前发布的漏洞的研究人员,在发布之前报告的漏洞,除了他们发现的漏洞类别之外,还有资格获得高达50%的奖金。
从今年晚些时候开始,所有安全研究人员都可以使用bug赏金计划。
该公司还证实了本周早些时候发布的福布斯报告称,它将根据新的iOS安全研究设备计划向经过审查和信任的安全研究人员和黑客提供一些“开发”iPhone。这些设备是特殊设备,可以让黑客更好地访问底层软件和操作系统,帮助他们找到通常被其他安全研究人员锁定的漏洞 - 例如安全shell。
苹果表示,它希望扩大其漏洞赏金计划将鼓励更多的研究人员私下披露安全漏洞,这将有助于增加对其客户的保护。