Apple製品の未発見の脆弱性を見つけると報酬金がもらえるAppleのバグ報酬金プログラムは、これまで招待制となっていましたが、誰でもバグの報告を行い、報酬がもらえるようになりました。プログラムの対象となっているのは、標準構成のiOS、iPadOS、macOS、tvOS、watchOSと、一般向けに販売されている最新のハードウェアです。
特定のベータ版内のバグ発見には報酬が50%増
Appleのセキュリティ報酬金を受け取るには、次の条件が必要となります。
- その脆弱性の、Apple製品セキュリティ(Apple Product Security)への第一報告者であること
- 修正されていない脆弱性の証明を含む明確な報告書を提出すること
- Appleがバグ修正のための関連アップデートを含むセキュリティ報告書を公開する前に脆弱性を公に開示しないこと
なお、特定の開発者向けベータとパブリックベータ内での脆弱性の発見には、報酬金が50%上乗せされます。
バグ報酬金プログラムの中身と報酬金額は以下のとおりとなっています。
トピック | 最大報酬金額 | |
---|---|---|
iCloud | Appleサーバー上のiCloudアカウントへの不正アクセス | 100,000ドル |
物理的なアクセスによるデバイスへの攻撃 | ロック画面の迂回 | 100,000ドル |
ユーザー情報の抽出 | 250,000ドル | |
ユーザーがダウンロードしたアプリによるデバイスへの攻撃 | センシティブなデータへの不正アクセス | 100,000ドル |
カーネルコードの実行 | 150,000ドル | |
CPUのサイドチャネル攻撃 | 250,000ドル | |
ユーザーインタラクションを含むネットワーク攻撃 | センシティブなデータへのワンクリックの不正アクセス | 150,000ドル |
ワンクリックのカーネルコードの実行 | 250,000ドル | |
ユーザーインタラクションを含まないネットワーク攻撃 | 物理的接近によるカーネルへのゼロクリック無線 | 250,000ドル |
センシティブなデータへのゼロクリック不正アクセス | 500,000ドル | |
パーシステンスとカーネルPAC迂回によるゼロクリックカーネルコード実行 | 1,000,000ドル |