苹果刚刚推出了一项新的苹果安全赏金计划，该计划将奖励在苹果软件中发现严重安全问题以及如何使用这些安全问题的研究人员。

苹果在过去24小时推出了很多安全材料，包括新款《苹果平台安全指南》。本指南详细介绍了苹果为提高其硬件、设备、服务和应用程序的安全性所做的所有努力。

苹果的开发者网站指出：

作为苹果对安全承诺的一部分，我们奖励与我们分享关键问题以及利用这些问题的技术的研究人员。我们优先考虑尽快解决已发现的问题，以最好地保护我们的客户。苹果将对那些提交有效报告的人给予公众认可，并将把奖金捐赠与合格的慈善机构相匹配。*

此前，苹果的漏洞奖励计划是基于邀请，所以只有一些安全研究人员可以参与。苹果也只针对iOS安全漏洞运行该程序。现在，它向所有安全研究人员开放，这是在今年8月于拉斯维加斯举行的黑帽安全会议上宣布的。

为了有资格获得Apple Security Bounty付款，此问题必须出现在最新公开的iOS、iPadOS、macOS、tvOS或watchOS版本上，这些版本具有“标准配置”和相关的最新硬件。资格规则旨在保护客户，直到有易受攻击的更新可用。标准行业惯例通常规定，任何发现漏洞的人都必须等到漏洞修复后才能公开披露。因此，要获得资格，您还必须：

成为第一个报告问题的人。提供清晰的报告，包括有效的利用

非公开披露。

如果在开发人员或公共beta中发现问题(包括回归分析)，除了列出的问题值之外，您还可以获得高达50%的奖金，包括：开发人员或公共beta(但不是所有Beta)导致的安全问题，或者以前解决的问题的回归，即使他们已经发布了建议。好东西。以下是按类别分列的最高支出清单。所有费用由Apple根据报告问题的访问或执行级别确定，并根据报告的质量进行修改。

ICloud的

未经授权访问苹果服务器上的iCloud账户数据-10万美元

通过物理访问进行设备攻击

锁屏旁路-100，000美元

用户数据提取-250，000美元

通过用户安装的应用程序进行设备攻击

未经授权访问敏感数据-100，000美元

内核代码执行-150，000美元

CPU端通道攻击-25万美元

用户交互的网络攻击

一键式未经授权访问敏感数据-150，000美元

一键执行内核代码——250，000美元

没有用户交互的网络攻击

物理邻近的零点击无线电至内核-250，000美元

零点击未经授权访问敏感数据-500，000美元

零点击内核代码执行与持久性和内核PAC旁路-100万美元

该页面还指出，包含基本概念证明而不是有效利用的报告将获得不超过最大支出的50%。至少，你的报告需要足够的信息让苹果重现这个问题。

你可以在苹果的开发者网站上阅读完整的明细，包括付款样本和条款和条件。你也可以在那里找到提交报告的说明！

如前几条推文中所述，伊万克斯蒂奇的2019年黑帽演讲现在也可以在YouTube上找到。视频标题为“iOS和Mac安全背后的故事”，内容为：

iOS 13和macOS Catalina中的find me功能使用户能够从附近的其他苹果设备获得帮助，找到丢失的Mac，同时严格保护所有参与者的隐私。我们将讨论我们有效的椭圆曲线密钥多样化系统，该系统可以从用户密钥对中获得短的未链接公钥，并允许用户在不向苹果透露敏感信息的情况下找到他们的离线设备。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：