蘋果公司宣布對其漏洞賞金計劃進行重大改革,將最高獎勵翻倍至 200 萬美元,獎勵對象為那些能夠與僱傭間諜軟體攻擊複雜程度相媲美的漏洞利用鏈。
蘋果公司表示,如果能將繞過鎖定模式和在測試版軟體中發現的漏洞的獎勵加起來,其總獎勵金額可能超過 500 萬美元。該公司聲稱,這是「所有賞金計劃中最高的獎勵」。
該計劃現在更加注重完整的漏洞利用鏈,而不是單個漏洞,這反映了現實世界中攻擊通常將多個漏洞串聯在一起的現實。遠程入侵向量的獎勵也大幅增加,但在實際攻擊中不常見的類別獲得的獎勵會有所降低。
作為改革的一部分,蘋果公司推出了「目標標誌」,其靈感源自「奪旗」遊戲。當研究人員成功利用漏洞時,他們可以捕獲一個特定的標誌,該標誌可以準確證明他們獲得了何種級別的訪問權限,例如代碼執行或任意讀/寫權限。
這些標記可由蘋果驗證,因此使用這些標記提交報告的研究人員在驗證捕獲的標記後即可立即收到賞金通知。賞金將在即將到來的付款周期發放,這意味著研究人員無需等到蘋果發布軟體修復程序(這可能需要數月時間)。
更新後的計劃將於 2025 年 11 月生效。
