Apple 宣布大幅加碼提升 Security Bounty 計劃的吸引力,顯著提高獎勵並擴大研究類別。Apple 將最高獎金翻倍至 200 萬美元,獎勵用於模仿複雜僱傭間諜軟體攻擊的利用鏈。透過額外獎金制度,最高支付金額甚至可能超過 500 萬美元。
重點文章
提升獎勵上限與細分類目
Apple 表示,200 萬美元的獎勵是業內前所未有的金額,也是已知所有獎勵計劃中最高的。Apple 大幅增加了許多其他類別的獎勵,包括完整的 Gatekeeper 繞過(10 萬美元)和廣泛未經授權的 iCloud 存取(100 萬美元),指出這兩個類別迄今為止尚未出現成功的漏洞利用展示。此外,該計劃擴大涵蓋範圍至新的攻擊範圍,針對單點 WebKit 沙箱逃逸提供高達 30 萬美元的獎勵,而通過任何射頻的無線鄰近漏洞最高可達 100 萬美元。
引入 Target Flags 加速獎勵流程
為幫助研究人員客觀地展示漏洞利用能力,Apple 引入了 Target Flags。這種新機制適用於遠端代碼執行和 Transparency, Consent, and Control (TCC) 繞過等頂級獎勵類別。提交附帶 Target Flags 報告的研究人員將符合加速獎勵資格,即在研究報告收到並驗證後立即處理付款,即使修復程式尚未發佈。
計劃提供 iPhone 17 設備予弱勢用戶
Apple 也宣佈了一項特別舉措,計劃向可能遭受僱傭間諜軟體攻擊的民間組織提供 1,000 部配備記憶體完整性強制執行的 iPhone 17 設備,以將業界領先的防護措施交付給需要的人。這些更新將於 2025 年 11 月生效,屆時 Apple 將在官方安全研究網誌上公佈所有新增類別、獎勵和獎金的完整細節。
