蘋果開放漏洞懸賞計劃：獎勵百萬美元為iOS安全

蘋果已經向所有安全研究人員開放了它的漏洞（“bug”）懸賞計劃，為發現它的作業系統中的主要缺陷提供100萬美元或更多的獎勵。

該計劃自2016年推出以來一直是受邀開放，現在已超出了iOS的範圍，包括了蘋果其它的作業系統在內。蘋果在今年8月的黑帽安全大會上首次宣布面向公眾開放該計劃，iCloud、iPadOS、macOS、tvOS和watchOS等多個作業系統將被列入漏洞懸賞名單列表中。

研究人員必須提交一份關於某個漏洞問題的詳細描述，並提供足夠的細節，以便蘋果能夠複製它。

當研究人員發現能影響多個蘋果平台的漏洞，尤其是當這個漏洞影響到最新的蘋果設備和軟體時，他們將得到最高的回報。在測試版中發現的任何漏洞都將為研究人員在標準獎勵之外再贏得額外50%的獎金。

這些潛在的收益包括：發現可以繞過設備鎖屏的漏洞可賺取25000美元到100000美元；獲得未經授權的iCloud訪問可以凈賺25000美元到100000美元；從鎖定的設備中提取到敏感數據則可能賺到100000美元到250000美元。

然而，對於研究人員來說，最有利可圖的漏洞將是那些在用戶不採取任何行動的情況下就可攻擊並接管某台設備的漏洞，即所謂的零點擊攻擊。在這些情況下，對賞金獲取的要求是非常嚴格的，需要與報告一起提交完整的利用鏈（exploit chain）。

儘管從2016年才開始實施，蘋果的漏洞懸賞計劃是這些科技巨頭中利潤較為豐厚的項目之一，而現在該計劃也像蘋果的競爭對手的漏洞懸賞項目那樣面向公眾開放了。

該漏洞懸賞計劃之所以進一步向公眾擴展，可能部分是為了應對iOS13所包含的大量漏洞，包括一些安全上的缺陷。據外媒報道稱，為準備2020年發布iOS 14，蘋果改變了測試軟體的方式，使之更符合Google、微軟以及其他公司隔離和測試軟體變化的方式。

作為修訂計劃的一部分，蘋果公司表示，將把獎金的捐贈與符合條件的慈善機構相匹配，並公開表彰提交有效報告的研究人員。