蘋果宣布將於11月更新旗下的Security Bounty漏洞獎勵計畫,並且大幅提高獎金上限,成為目前產業中獎勵金額最高的資安計畫之一。
新的制度中,針對可達成類似「傭兵級間諜軟體」攻擊效果、且無需透過使用者互動即可入侵的漏洞,單一案例最高可獲得200萬美元獎勵。若研究人員發現的漏洞涉及beta測試版本或能繞過鎖定模式 (Lockdown Mode)的防護機制,獎金最高更可達500萬美元規模。
擴大獎勵範圍,鼓勵攻防研究
除了針對零點擊攻擊 (Zero-click exploit)提高獎金外,蘋果也同步調整了其他漏洞類型的獎勵門檻。例如,一次點擊即可觸發的攻擊鏈最高可獲得100萬美元 (原為25萬美元),需靠近裝置才能執行的攻擊則提高至100萬美元,至於需透過實體接觸,並且破解鎖定設備的攻擊獎勵則翻倍至50萬美元。
此外,若研究者能展示「網頁內容代碼執行結合沙盒逃逸」的漏洞鏈,最高可獲得30萬美元獎勵。
蘋果安全工程與架構副總裁Ivan Krstić透露,自計畫啟動以來,公司已向超過800位安全研究人員發放逾3500萬美元獎金,其中曾有多次50萬美元等級的重大獎勵案例,但最高額獎金仍屬極為罕見。
應對國家級攻擊與間諜軟體威脅
蘋果指出,目前觀察到的iOS系統層級攻擊,多半來自具國家背景或與政府合作的「傭兵級間諜軟體團體」,這類攻擊往往鎖定特定政治、記者或人權相關目標,具有高度隱蔽性與精密度。
為此,蘋果持續在系統中導入鎖定模式與記憶體完整性防護 (Memory Integrity Enforcement)等新防護架構,藉此降低記憶體破壞與遠端滲透風險。
但蘋果也坦言,隨著攻擊手法持續演進,防禦難度不斷提升。透過擴大獎勵機制,公司希望吸引更多資深安全專家針對核心攻擊面展開研究,進一步提升iOS與macOS的整體防護水平。
建立全球最嚴格的安全防線
蘋果自2019年正式開放漏洞回報獎金制度以來,已經逐步從內部測試轉向對全球安全社群全面開放。此次調整不僅是獎金金額的提升,更代表蘋果在AI時代下重新定位資安防線的決心。
面對日益複雜的數位攻擊生態,蘋果希望以高額獎勵吸引更多「白帽駭客」投入研究,從攻擊者視角補強系統安全。對業界而言,這不只是一次企業防護強化,更是對整個資安生態鏈的實質投資。
