蘋果成立新安全研究網站 可提報安全漏洞
蘋果近日設立了全新的安全研究網站(Apple Security Research),這是蘋果的安全研究中樞,可讓資安研究人員提報安全漏洞,申請蘋果安全研究裝置,並提供了蘋果平台的安全指南與技術支援,揭露與說明最新安全機制及演進。
蘋果公司表示,他們自2016年就開始小規模的邀請研究人員參與蘋果的抓漏獎勵專案,並在2019年對外開放這項機制,2019年至今總計已頒發近2000萬美元的獎金,在產品類別的平均支出為4萬美元,還有20個安全漏洞的獎勵金額,總共超過10萬美元。
不僅如此,蘋果即日起也將開放研究人員申請加入新一輪的安全研究裝置(Security Research Device,SRD)計畫,獲准加入的研究人員可取得一支特別配置的iPhone,不需要繞過安全功能就可以展開iOS的安全研究,可執行任何工具,或是選擇所想要的權限,甚至是客製化核心,與此同時必須將所發現的安全漏洞提交給蘋果或是適當的第三方,申請截止日為11月30日。
據了解,SRD計畫支援包括美國、新加坡、南韓與日本等數10個國家,但並沒有包含台灣。此外,蘋果罕見的對外分享應用於Mac、iPhone與iPad上的XNU核心技術,主要是記憶體的安全升級,主題為記憶體分配器kalloc_type。
蘋果的基本策略是設計一個可以讓多數鎖定記憶體毀損漏洞的攻擊,都變得不可靠的分配器,這個做法將可限制許多記憶體臭蟲所能造成的影響。(記者/竹二)
瀏覽 535 次