苹果公司昨天(8月30日)正式宣布开始接受2024 年iPhone安全研究设备计划的申请,iOS 安全研究人员可以在 10 月底之前申请安全研究设备 SRD。
SRD设备是专门向安全研究人员提供的iPhone14Pro,该设备具有专为安全研究而设计的特殊硬件和软件,以便更容易地发现 iOS 系统的关键漏洞。只要是使用SRD发现的漏洞,苹果方面都会考虑给予一定的安全漏洞赏金。
研究人员在拿到为期12个月(可续借)的SRD后,可以使用它进行以下操作:
- 安装和启动自定义内核缓存
- 使用任何权限运行任意代码,包括以平台和 root 身份在沙盒外运行
- 设置 NVRAM 变量
- 为 iOS 17 中新增的安全页面表监控器(SPTM)和可信执行监控器(TXM)安装和启动自定义固件
苹果方面补充称,通过 "安全研究设备计划 "提供的 iPhone 只能由授权人员使用,且不得离开安全研究机构的场所。
设备申请截止至10月31日
从即日起至10月31日,苹果邀请安全研究人员申请 2024 年 iPhone 安全研究设备计划 (SRDP)。与苹果安全团队通力合作,帮助保护用户,找出漏洞即可获得苹果安全赏金奖励。
每年苹果都会通过申请程序挑选出数量有限的安全研究人员获得 SRD,该程序主要基于他们在安全研究方面的记录,包括在 iPhone 以外的平台上的研究记录。
苹果还允许大学申请访问 2024 年 iPhone 安全研究设备计划,将其用作计算机科学课程的教学辅助工具。
所有提交的申请将在今年年底前接受全面评估,并计划在 2024 年初公布中选的参与者名单。
你可以在苹果安全研究设备计划页面上找到更多有关该计划资格的信息,并提交安全研究设备申请。
苹果安全研究计划(SRDP)最早于2019 年启动
苹果安全研究计划(SRDP)于 2019 年上线,研究人员已通过该计划发现了 130 个高影响力的安全漏洞。苹果公司表示,研究人员帮助他们实施了"新颖的修补措施",以保护 iOS 设备。
在过去的六个月里,计划参与者获得了 37 个 CVE 信用点,为 XNU 内核、内核扩展和 XPC 服务的改进做出了贡献。
参与 SRDP 的研究人员有资格获得苹果安全奖金。苹果公司已经奖励了来自 SRDP 研究人员的 100 多份报告,并表示"多个奖项"达到了 50 万美元,中位数奖金接近 1.8 万美元。