蘋果成立新安全研究網站　可提報安全漏洞

蘋果近日設立了全新的安全研究網站（Apple Security Research），這是蘋果的安全研究中樞，可讓資安研究人員提報安全漏洞，申請蘋果安全研究裝置，並提供了蘋果平台的安全指南與技術支援，揭露與說明最新安全機制及演進。

蘋果公司表示，他們自2016年就開始小規模的邀請研究人員參與蘋果的抓漏獎勵專案，並在2019年對外開放這項機制，2019年至今總計已頒發近2000萬美元的獎金，在產品類別的平均支出為4萬美元，還有20個安全漏洞的獎勵金額，總共超過10萬美元。

不僅如此，蘋果即日起也將開放研究人員申請加入新一輪的安全研究裝置（Security Research Device，SRD）計畫，獲准加入的研究人員可取得一支特別配置的iPhone，不需要繞過安全功能就可以展開iOS的安全研究，可執行任何工具，或是選擇所想要的權限，甚至是客製化核心，與此同時必須將所發現的安全漏洞提交給蘋果或是適當的第三方，申請截止日為11月30日。

據了解，SRD計畫支援包括美國、新加坡、南韓與日本等數10個國家，但並沒有包含台灣。此外，蘋果罕見的對外分享應用於Mac、iPhone與iPad上的XNU核心技術，主要是記憶體的安全升級，主題為記憶體分配器kalloc_type。

蘋果的基本策略是設計一個可以讓多數鎖定記憶體毀損漏洞的攻擊，都變得不可靠的分配器，這個做法將可限制許多記憶體臭蟲所能造成的影響。（記者／竹二）

瀏覽 445 次