您的位置:首页 >财经 > 要闻 >

苹果公司以一百万美元的奖金加强其漏洞赏金计划

2020-02-07 15:03:25 [来源]:

苹果的macOS本质上比Windows或Android更安全,但是保护任何操作系统都是24/7全天候运行。在黑帽,苹果公司安全工程和体系结构负责人Ivan Krstic详细介绍了三项高科技安全性成就,并添加了自己的一项。更多的东西。

越来越严格的安全性

大多数Black Hat与会者的编码技能从强大到疯狂,他们需要这些技能来跟随Krstic对Apple工作的详尽了解。不用担心,我不会尝试在深层代码级别进行报告。

黑帽虫艺术

“我们一直在Mac安全启动方面投入大量资金,” Krstic说。“ Gatekeeper,用户隐私保护,这些是我们在Mojave中首次推出的功能,在Catalina中更是首次使用。在几乎每个执行路径中都进行了恶意软件检查。Catalina添加了更多类别的受保护数据。”

团队针对Mac安全启动的计划要求拥有T2安全芯片,然后才能将控制权交给标准UEFI安全启动。其他创新阻止了启动时ROM驱动程序中的此类事情破坏安全启动。

然后,Krstic深入研究了iOS设备代码完整性保护的增强功能。可以说,iOS 13将比其前身安全得多。

如果您的设备处于脱机状态,那么使您能够查找丢失的Apple设备的“查找我的”系统无法做很多事情。可以吗苹果对此功能的新增强使其可以通过蓝牙从附近的苹果设备获得帮助。我不能说我了解所有密码细节,但是可以某种程度上做到这一点,而无需让Apple,您的设备或附近的“ finder”设备知道他们不应该知道的任何事情。大概苹果说。

新的漏洞赏金计划

根据Krstic的说法,苹果公司的安全悬赏计划于2016年推出,奖金为200,000美元,此后,苹果已收到“超过50份有用的报告”。

苹果公司的计划将在今年秋天开始向所有人开放。“我们正在扩展它以添加tvOS,iPadOS,watchOS…和macOS”,这引起了更多的掌声。

他继续详细介绍了许多新类别及其奖励,范围从100,000美元到最高500,000美元。此外,在产品的预发布期间成功的漏洞发现者会获得50%的奖金,因为“发现漏洞的最佳时间是在其发布之前”。

那不是全部。“具有内核代码执行和持久性的零点击iOS全链怎么样?”Krstic问。简而言之,这将是一次完全摧毁您的iPhone的攻击,而这种罕见的独角兽攻击价值一百万美元。

我们都知道一百万美元的吸引力,但Krstic的最终公告同样吸引了Black Hat的听众。

Krstic表示:“很难开始进行iOS研究。”“许多熟练的研究人员坚持使用其他平台。”因此,明年苹果将开放一个iOS安全研究设备计划。访问只能通过邀请进行,但是Apple将从具有安全专业知识的任何人那里获取应用程序。

那些被接受的人将获得一个预装了重要工具的特殊的以开发人员为中心的iPhone。