為強化 iPhone、Mac 等產品安全性,蘋果近日成立了全新的安全研究網站,提供資安研究人員提報安全漏洞、申請蘋果安全研究裝置,也在網站上說明蘋果最新安全機制及演進,以及提供蘋果平台安全指南與技術支援;不僅如此,蘋果還升級了「抓漏」獎金,以激勵研究人員能更快、更有效率的找出安全漏洞。
蘋果表示,從 2016 年開始,就小規模地邀請研究人員參與蘋果的抓漏獎勵專案(Apple Security Bounty),而此一專案於 2019 年時全面對外開放;迄今已經頒發近 2,000 萬美元的獎金,並有 20 項安全漏洞的研究獎金超過 10 萬美元。
如今,蘋果更近一步升級了 Apple Security Bounty 計畫。蘋果指出,此一計畫現在有了更多的透明度,目前已將詳細的 Apple Security Bounty 評估標準、獎金範圍和研究案例上傳至新的安全研究網站上,好讓研究人員可更清楚了解未來的研究重點,並預測自身的研究是否有資格能獲得獎金。此一做法能讓研究人員的反饋更迅速,有時候收到的報告比預期的還要多;同時,研究人員也更容易與蘋果團隊溝通。
而在升級 Apple Security Bounty 計畫後,蘋果也開放研究人員申請加入新一輪的安全研究裝置(Security Research Device,SRD)計畫。蘋果說明,獲准加入該計畫的研究人員可取得一支專門用於安全研究的 iPhone,可以不用繞過安全功能就能進行 iOS 安全研究,能執行任何工具、選擇想要權限,甚至是自定義核心等。
不過,蘋果強調,研究人員必須將所發現的安全漏洞提交給蘋果或適當的第三方,且用於 SDR 的iPhone 不可於日常使用;但所發現的任何漏洞都會被列入 Apple Security Bounty 計畫,審核是否有資格獲得獎金。
新的 SRD 計畫的申請截止日為 11 月 30 日,支援包括美國、新加坡、南韓與日本等數十個國家,但並未包括台灣或中國。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
