蘋果已正式啓動全新漏洞提交獎勵計劃，獎金最高可達 150 萬美圓

近日，國際手機制造商蘋果公司正式面向全部安全領域的開發者啓動了其最新的漏洞提交獎勵計劃。蘋果將獎金上限從 20 萬美圓上調到了 150 萬美圓，具體能得到的獎金將按照漏洞利用鏈的複雜及嚴重程度來肯定最終數額。

蘋果安全工程與架構負責人 Ivan Krstić 在今年 8 月舉行的美國黑帽安全大會上曾公佈過這項新計劃。在此以前，蘋果從 2016 年開始施行的漏洞提交獎勵計劃，是定向邀請制而不是全面開放的，而且只接受提交 iOS 系統相關的安全漏洞。也許是受到舊獎勵計劃獎金不夠高的影響，過去開發者們對提交漏洞並非很是積極。

在新的漏洞提交獎勵計劃中，接受安全漏洞提交所覆蓋的範圍已擴展至更多蘋果相關產品，其中包括 iPadOS、macOS、tvOS、watchOS 等系統以及 iCloud。爲了正式說明相關細則，蘋果在其官方網站上專門發佈了一份新的說明文檔，詳細介紹了其漏洞提交獎勵計劃的每項規則，並列出了每一類安全漏洞所對應的獎金範圍。

根聽說明文檔來看，新計劃的各項要求均較爲嚴格，最高獎勵的門檻設置得很是高。開發者們要想得到高額獎金和各類不一樣的獎項，就必需要提交
描述清晰、細節明瞭的漏洞報告。

完整報告所須要的內容包括如下這些：

• 關於所提交漏洞的詳細描述；
• 使對應的系統達到受漏洞影響狀態的任何先決條件與步驟；
• 針對所提交漏洞的合理可靠的惡意代碼；
• 可幫助蘋果官方團隊有效復現相關問題的所有信息。

報告那些「一次點擊」甚至是「無需點擊」就能發動的漏洞攻擊，可爲提交者帶來大量獎金，但蘋果針對這些漏洞報告會要求將完整的漏洞利用鏈一併提交上來。這些漏洞的報告須要額外包含如下內容：

• 編譯版本和源版本都包含在內；
• 進行漏洞攻擊所須要的所有條件；
• 若有必要，需提供一個非破壞性的惡意程序樣本。

蘋果安全團隊還對具備如下特性的安全問題格外感興趣：

• 可影響多個不一樣平臺的漏洞；
• 可影響最新的公開軟硬件的漏洞；
• 針對新功能，或開發者測試版、公開測試版代碼的稀有漏洞；
• 影響敏感組件的漏洞；
• 新出現的漏洞。

報告上述相關的漏洞，就有更大的機會贏得最高 150 萬美圓的獎金。目前，獎金最高的漏洞是「無需用戶介入便可發動的網絡攻擊」類別下的「Zero-click kernel code execution with persistence and kernel PAC bypass」漏洞，其獎金金額爲 100 萬美圓。

此外，蘋果對測試版的產品中出現的漏洞也很是重視，提交測試版產品漏洞的開發者將有機會在常規獎金以外，再得到最高 50% 比例的額外獎勵。這是由於這些漏洞的提交能夠幫助蘋果在其相關軟件正式發佈以前，就先修復好那些致命的漏洞並改善系統安全性，從而避免成千上萬的蘋果用戶以及數十億的蘋果設備遭受損失。

對於那些在舊版本軟件中已經修復，但在後續版本軟件中又從新出現的漏洞，蘋果一樣也會給予最高 50% 的額外獎勵。

若是一次攻擊利用了三個安全漏洞，那麼提交者就必需要在漏洞報告中將涉及所有安全隱患的漏洞利用鏈都附上，不然將沒法得到最高獎勵。

據相關的安全專家介紹，漏洞提交獎勵計劃的實施難點，在於如何界定有效與無效漏洞的標準，明確漏洞所形成的真實影響，以及如何過濾掉全部低於設定標準的次要漏洞報告。

儘管一項「漏洞提交獎勵計劃」實際上是把責任間接交給了安全領域的開發者們，但這也確實能讓蘋果的安全團隊可以以更快的速度發現這些漏洞，爲其修補工做安排優先級，並集中精力修復那些影響最大、最關鍵的安全漏洞，消除潛在的安全隱患。對於蘋果來講，要想全面地推行這項新計劃並改變其在安全領域開發者們心中的刻板印象，或許還要花費更多的時間。