环球门户网

您可以通过苹果新的安全赏金计划获得150万美元的奖励

更新时间:2021-09-17 07:12:08

导读 苹果刚刚推出了一项新的苹果安全赏金计划,该计划将奖励在苹果软件中发现严重安全问题以及如何使用这些问题的研究人员。苹果在过去24小时推

苹果刚刚推出了一项新的苹果安全赏金计划,该计划将奖励在苹果软件中发现严重安全问题以及如何使用这些问题的研究人员。

苹果在过去24小时推出了很多安全材料,包括新款《苹果平台安全指南》。本指南详细介绍了苹果为提高其硬件、设备、服务和应用程序的安全性所做的所有努力。

苹果的开发者网站指出:

作为苹果对安全承诺的一部分,我们奖励与我们分享关键问题以及利用这些问题的技术的研究人员。我们优先考虑尽快解决已发现的问题,以最好地保护我们的客户。苹果将对那些提交有效报告的人给予公众认可,并将把奖金捐赠与合格的慈善机构相匹配。*

此前,苹果的漏洞奖励计划是基于邀请,所以只有一些安全研究人员可以参与。苹果也只针对iOS安全漏洞运行该程序。现在,它向所有安全研究人员开放,这是在今年8月于拉斯维加斯举行的黑帽安全会议上宣布的。

要有资格获得Apple Security Bounty付款,此问题必须出现在最新公开的iOS、iPadOS、macOS、tvOS或watchOS版本上,这些版本具有“标准配置”和最新的相关硬件。资格规则旨在保护客户,直到有易受攻击的更新可用。标准行业惯例通常规定,任何发现漏洞的人都必须等到漏洞修复后才能公开披露。因此,要获得资格,您还必须:

成为第一个报告问题的人。提供清晰的报告,包括有效的利用。

非公开披露。

如果在开发人员或公共beta中发现问题(包括回归分析),除了列出的问题值之外,您还可以获得高达50%的奖金,包括:开发人员或公共beta(但不是所有Beta)导致的安全问题,或者以前解决的问题的回归,即使他们已经发布了建议。好东西。以下是按类别分列的最高支出清单。所有费用由Apple根据报告问题的访问或执行级别确定,并根据报告的质量进行修改。

ICloud的

未经授权访问苹果服务器上的iCloud账户数据-10万美元。

通过物理访问进行设备攻击。

锁屏旁路-10万美元。

用户数据提取-25万美元。

通过用户安装的应用程序进行设备攻击。

未经授权访问敏感数据-10万美元。

内核代码执行-15万美元。

CPU侧通道攻击-25万美元。

用户交互网络攻击。

一键式未经授权访问敏感数据-15万美元。

一键执行内核代码-25万美元。

没有用户交互的网络攻击。

点击零无线电到物理接近的内核-250,000美元。

点击零未授权访问敏感数据-50万美元。

零点击内核代码执行与持久性和内核PAC旁路-1,000,000美元。

该页面还指出,包含基本概念证明而不是有效利用的报告将获得不超过最大支出的50%。至少,你的报告需要足够的信息让苹果重现这个问题。

你可以在苹果的开发者网站上阅读完整的明细,包括付款样本和条款和条件。你也可以在那里找到提交报告的说明!

如前几条推文中所述,伊万克斯蒂奇的2019年黑帽演讲现在也可以在YouTube上找到。视频标题为“iOS和Mac安全背后的故事”,内容为:

iOS 13和macOS Catalina中的find me功能使用户能够从附近的其他苹果设备获得帮助,找到丢失的Mac,同时严格保护所有参与者的隐私。我们将讨论我们有效的椭圆曲线密钥多样化系统,该系统可以从用户密钥对中获得短的未链接公钥,并允许用户在不向苹果透露敏感信息的情况下找到他们的离线设备。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。