蘋果安全漏洞獎勵計劃借研究員找出130項iPhone重大漏洞

蘋果準備推出 iPhone 15 和 iOS 17 新系統前夕，再度分享 iOS 安全性，蘋果強調與安全研究員共同合作下，近4年來也替 iPhone 設備修補超過 130 項重大 iOS 系統漏洞。

自從 2019 年起 Apple 就啟動一項「安全研究設備計畫」（Apple Security Research Device Program；SRDP），提供一項特殊無安全防護機制 iPhone 設備給參與研究人員和安全團隊，方便他們能夠快速找出 iOS 安全漏洞。

這項計畫也並非是所有人都能自由報名參與，會由 Apple 從中挑選曾回報過漏洞的研究人員才能參與這項蘋果安全漏洞獎勵計劃，同時只要有找到漏洞就會提供獎金。

蘋果也分享，目前SRDP安全研究員光是在過去六個月內，就發現36項iOS系統漏洞，受影響包含有系統核心、XPC服務、XUN核心以及和核心擴充程式等。該計畫推行至今已經4年，蘋果總計從iPhone設備內發現130多項重大iOS安全漏洞，甚至也針對100多項漏洞發出最高50萬元獎金。

今年SRDP計畫是以iPhone 14 Pro為核心主體研究設備，蘋果還替研究人員提供一些相關工具，方便安全研究人員能透過任何設定或關閉iOS系統進階安全防護，通常這些防護機制不允許普通 iPhone 直接關閉。

該項目也允許研究人員能啟用核心快取、設定SNVRAM變項，以及執行任意程式代碼，並且擁有 iOS 平台完整 Root 最高權限，同等於是一台可越獄的 iPhone 14 Pro 設備，以利於安全研究人員能夠安裝與啟動 iOS 17 SPTM（Secure Page Table Monitor）及TXM（Trusted Execution Monitor）。

就算部分安全漏洞已經被修復，依舊能夠讓安全研究人員在特殊 iPhone 設備進行研究，並找出更其他相關漏洞。

以往蘋果只會邀請有研究結果的安全人員加入 SRDP 計畫，不過今年也開放給教育機構資安老師申請，能夠讓大學教師能夠在實驗室或課堂上使用特殊款 iPhone 進行教學或研究。

2024 年度 SRDP 計畫也從即日起開始報名，時間只到10月31日止，有興趣者可透過官方報名網址申請，並需提交研究報告，最終蘋果才會在2024年初通知入選參賽者。

👉 Apple安全研究設備計畫：點我去報名申請

Apple安全研究設備計畫申請條件

• 申請成為年費蘋果開發者
• 在 Apple 平台或其他平台上找過安全漏洞經驗
• 年齡需滿18歲
• 過去一年沒有 Apple 僱用關係
• 需在符合條件的國家和地區

要以公司、大學或其他類型的組織身份註冊，必須獲得代表單位授權。其他用戶必須提前獲得 Apple 批准，並且需要單獨接受計劃條款。