苹果提升漏洞赏金，黑客有机会赚百万！

html

苹果的漏洞赏金计划最初于2016年面向一小部分研究人员，2019年扩展到所有人。此前，该计划根据漏洞的严重性和性质提供 100,000 美元、250,000 美元和 1,000,000 美元的奖励。然而，该公司决定提高潜在收益，以更好地补偿安全研究人员发现这些难以捉摸的漏洞所花费的时间和精力。

未来，对于可以被滥用来远程攻击苹果用户且无需任何交互的漏洞，最高赔付将为200万美元，这被称作“零点击”黑客攻击。苹果指出，特别是雇佣间谍软件的商家会专门寻找此类缺陷。

苹果解释道：“我们在实际环境中观察到的唯一系统级iOS攻击是来自雇佣间谍软件——极其复杂的攻击链，历史上与国家行为者有关，开发成本高达数百万美元，且仅用于针对极少数特定个体。” “虽然锁定模式和内存完整性保护使得此类攻击的开发成本和难度大幅提升，但我们认识到，最先进的对手会继续提升他们的技术。”

更高的奖励承诺确保苹果能吸引顶尖的外部安全研究人才，因为雇佣的间谍软件提供商和国家支持的黑客继续针对 iOS 和 macOS 用户。苹果表示，自2019年以来，已向800多名第三方研究人员支付了超过3500万美元的奖金，其中包括多项50万美元的奖励。苹果还表示，希望增加奖励，因为预计安全研究人员将更难找到这些漏洞，考虑到公司在加强安全方面的努力。

苹果补充说，在设备物理接近范围内的一键漏洞的最高奖励也已从25万美元增加到100万美元。截至目前，苹果尚未发现能够导致完全妥协的接近攻击，但漏洞赏金奖励可能会帮助公司发现更多问题，从而保护其产品。

“我们还在许多其他类别中加倍或大幅增加奖励，以鼓励更深入的研究。这包括对完整绕过 Gatekeeper 的奖励 10 万美元，以及对广泛的未经授权的 iCloud 访问奖励 100 万美元，因为到目前为止在这两个类别中尚未出现成功的利用案例，”该公司补充道。

苹果表示，增加奖励并不是为了回应第三方“网络军火商”所提供的高额奖金，目的是将研究成果用于武器化。过去，一家公司 Zerodium 曾为 iOS 和 Android 漏洞提供高达 250 万美元的奖金。