蘋果抓漏獎勵專案擴大到macOS及Apple TV，最高獎金增加到100萬美元

蘋果在本周舉行的黑帽大會（BlackHat）上宣布，將把原本只適用於iOS的抓漏獎勵專案，擴大到涵蓋macOS、watchOS與Apple TV，並把發現特定漏洞的最高獎金，從原本的20萬美元增加到100萬美元。

蘋果是在2016年才開始實施抓漏獎勵專案，但當時該專案只適用於iOS，包括iCloud在內，而今蘋果擴大了該專案的適用範圍，涵蓋了蘋果所有的作業系統，也包括自iOS衍生的iPadOS在內。

今年初，有一名18歲的業餘資安研究人員Linus Henze發現macOS上的Keychain含有一安全漏洞，允許駭客存取Keychain的所有密碼，但因蘋果並未提供macOS的抓漏獎勵，於是他選擇對外公開漏洞細節，並打造了概念性驗證攻擊程式。

蘋果不僅擴大抓漏獎勵專案的實施範圍，也提高了各項漏洞的獎金，此外，蘋果還新設「iOS安全研究裝置計畫」（iOS Security Research Device Program），準備提供含有先進除錯功能的iPhone予安全研究人員，此一特製版iPhone預計會在明年出爐。

蘋果開出百萬賞金 獎勵駭客入侵iPhone回報漏洞

蘋果公司最新拓展的漏洞回報計畫（bug bounty program），開出百萬美金酬勞，鼓勵大眾駭入旗下產品iPhone手機。

根據CBS報導，蘋果資安負責人Ivan Krstić上周四在黑帽（Black Hat）大會上宣布，任何人在沒有聯繫iPhone手機使用者的情況下，能完全控制iPhone系統，將獲得百萬美金全額獎賞。

Krstić表示：「這是史無前例的，全iOS的資安研究平台。」此項計畫先前曾開出最高20萬美金的獎金。然而這是首次涵蓋iOS、iCloud、tvOS、iPadOS、watchOS和macOS的全面研究計畫。

此外，蘋果也提供特殊的iPhone手機給符合資格的資安研究人員，此種iPhone相較於一般iPhone手機更駭入，盼研究員能及時發現安全漏洞，並在產品上市前修正。

漏洞獎勵平台HackerOneMarten的執行長Marten Mickos在接受CBS時表示，漏洞安全計畫對於處理大量個資的公司尤其重要，「更需要一個可以回報資安漏洞的途徑」。

現今愈來愈多公司提供經濟誘因，鼓勵駭客回報錯誤，而非直接入侵系統。Krstić也表示，漏洞回報計畫開始後非常成功，從2016年到現在有將近50個重要漏洞被通報。