蘋果升級漏洞賞金計劃對抗精密間諜軟件攻擊

隨著蘋果最新iPhone芯片新增的內(nèi)存安全特性使多類漏洞利用技術(shù)難度大幅提升，該公司全面升級了漏洞賞金計劃，將各類攻擊的獎勵金額提高至原先的2-4倍。從下個月開始，研究人員向蘋果負(fù)責(zé)任披露的iOS零點擊系統(tǒng)級遠(yuǎn)程代碼執(zhí)行（RCE）漏洞利用鏈的獎金將從100萬美元提升至200萬美元。

蘋果安全團隊在博客中表示："我們將針對能達(dá)到精密商業(yè)間諜軟件攻擊同等效果的漏洞利用鏈的最高獎金翻倍至200萬美元。這是業(yè)內(nèi)前所未有的金額，也是我們所知所有漏洞賞金計劃中的最高獎勵——而我們的獎金系統(tǒng)還能在此基礎(chǔ)上再翻倍，針對繞過鎖定模式（Lockdown Mode）的漏洞和測試版軟件中發(fā)現(xiàn)的安全問題提供額外獎勵，最高獎金可超過500萬美元。"

iOS和Android系統(tǒng)長期是監(jiān)控軟件供應(yīng)商的目標(biāo)，這些供應(yīng)商向全球情報機構(gòu)和執(zhí)法部門出售移動監(jiān)控能力。盡管這些供應(yīng)商長期聲稱會嚴(yán)格審查客戶，但其軟件（通常通過零日漏洞部署）卻屢屢落入專制政權(quán)手中，用于監(jiān)控政治活動人士和記者。其他由情報機構(gòu)自主研發(fā)或從灰色市場獲取的零日漏洞則被用于網(wǎng)絡(luò)間諜活動。

蘋果今年已在iOS系統(tǒng)中修復(fù)了8個零日漏洞，2024年修復(fù)了6個。就在上個月，該公司修復(fù)了iOS ImageIO組件中的一個漏洞（CVE-2025-43300），該漏洞與WhatsApp中的零日漏洞（CVE-2025-55177）形成攻擊鏈，約200人成為攻擊目標(biāo)。

蘋果表示："我們在實際環(huán)境中觀察到的系統(tǒng)級iOS攻擊都來自商業(yè)間諜軟件——這些極其精密的漏洞利用鏈歷史上與國家行為體相關(guān)，開發(fā)成本高達(dá)數(shù)百萬美元，且僅針對極少數(shù)特定目標(biāo)。雖然鎖定模式和內(nèi)存完整性強制（Memory Integrity Enforcement）使此類攻擊的開發(fā)成本和技術(shù)難度大幅提升，但我們認(rèn)識到最先進(jìn)的攻擊者仍會持續(xù)進(jìn)化其技術(shù)。"

CPU級內(nèi)存安全改進(jìn)

隨著上月iPhone 17和iPhone Air的發(fā)布，蘋果推出了歷時五年研發(fā)的反漏洞利用技術(shù)"內(nèi)存完整性強制"（Memory Integrity Enforcement），該技術(shù)通過逐步向其CPU和軟件添加多個組件實現(xiàn)。

內(nèi)存完整性強制旨在大幅提高內(nèi)存破壞漏洞（特別是緩沖區(qū)溢出和釋放后使用漏洞）的利用難度。該技術(shù)利用了2019年發(fā)布的Arm內(nèi)存標(biāo)記擴展（MTE）規(guī)范和2022年推出的增強型內(nèi)存標(biāo)記擴展（EMTE）。

這些芯片級機制實現(xiàn)了內(nèi)存標(biāo)記和標(biāo)記檢查系統(tǒng)，使進(jìn)程分配的任何內(nèi)存都帶有秘密標(biāo)記，后續(xù)訪問該內(nèi)存的請求必須包含正確的秘密標(biāo)記。簡而言之，利用內(nèi)存破壞漏洞的關(guān)鍵在于將惡意字節(jié)碼寫入系統(tǒng)已分配給現(xiàn)有進(jìn)程（通常是存在漏洞的應(yīng)用程序）的內(nèi)存緩沖區(qū)，從而使該進(jìn)程以其權(quán)限執(zhí)行惡意代碼。如果目標(biāo)進(jìn)程是內(nèi)核組件，攻擊者就能獲得系統(tǒng)級任意代碼執(zhí)行權(quán)限。

采用MTE后，攻擊者現(xiàn)在還必須找到秘密標(biāo)記才能在標(biāo)記內(nèi)存緩沖區(qū)中進(jìn)行寫入操作而不被標(biāo)記，并避免目標(biāo)進(jìn)程被操作系統(tǒng)終止。然而，該技術(shù)仍存在缺陷和弱點，包括競爭條件窗口、異步寫入問題、可能因時序差異泄露標(biāo)記的側(cè)信道攻擊，以及Spectre v1等利用CPU緩存泄露數(shù)據(jù)（可能包括MTE標(biāo)記）的CPU推測執(zhí)行攻擊。

蘋果安全團隊表示："最終我們確定，要實現(xiàn)真正一流的內(nèi)存安全性，需要在整個蘋果公司范圍內(nèi)開展大規(guī)模工程工作——包括對Apple芯片、操作系統(tǒng)和軟件框架的更新。這項工作與我們極為成功的安全內(nèi)存分配器工作相結(jié)合，將把MTE從有用的調(diào)試工具轉(zhuǎn)變?yōu)橥黄菩缘男掳踩δ堋?

難度提升帶來更高獎勵

這項工作的成果就是蘋果現(xiàn)在所稱的內(nèi)存完整性強制（MIE），該功能已內(nèi)置在iPhone 17和iPhone Air系列搭載的新款A(yù)19和A19 Pro芯片中。MIE在iOS中用于保護(hù)整個內(nèi)核和70多個用戶態(tài)進(jìn)程，使針對這些目標(biāo)的內(nèi)存破壞漏洞利用難度大幅提升。

正因如此，蘋果決定提高漏洞賞金計劃的獎勵金額。研究人員現(xiàn)在需要更具創(chuàng)造力，付出更多努力才能使漏洞利用鏈在最新的蘋果設(shè)備上生效。

不僅商業(yè)間諜軟件供應(yīng)商使用的頂級遠(yuǎn)程代碼執(zhí)行鏈獎金有所提高。從下個月開始，許多依賴內(nèi)存破壞條件結(jié)合其他漏洞的攻擊類型也將獲得更高獎勵：

• 應(yīng)用沙箱逃逸攻擊獎金提高至50萬美元（原25萬美元）
• 需要物理接觸設(shè)備的攻擊獎金提高至50萬美元（原25萬美元）
• 通過無線和射頻協(xié)議實施的近距離攻擊獎金提高至100萬美元（原25萬美元）
• 需要用戶交互的單次點擊遠(yuǎn)程攻擊鏈獎金提高至100萬美元（原25萬美元）
• 零點擊遠(yuǎn)程攻擊鏈獎金提高至200萬美元（原100萬美元）

此外，單獨的或無法串聯(lián)成完整攻擊鏈的漏洞利用組件仍可獲得獎勵，但金額較低。

蘋果還在操作系統(tǒng)中引入了所謂的"目標(biāo)標(biāo)志"（Target Flags），研究人員如果"捕獲"這些標(biāo)志，即使在修復(fù)程序開發(fā)和發(fā)布前也能加速獲得獎金。這些目標(biāo)標(biāo)志旨在證明攻擊已達(dá)到某種能力水平（如寄存器控制、任意讀寫或代碼執(zhí)行），使蘋果能夠以編程方式驗證所提交漏洞利用的影響。

額外獎金可能使總獎勵更高。例如，報告開發(fā)中或公開測試版中的漏洞利用可獲得額外獎金，因為這使蘋果能在軟件推送到大量設(shè)備前修復(fù)問題。繞過iOS鎖定模式防護(hù)的漏洞利用也有資格獲得額外獎金。

向活動人士提供iPhone以對抗間諜軟件

由于蘋果認(rèn)為iPhone 17設(shè)備現(xiàn)在更難被間諜軟件供應(yīng)商攻擊，該公司計劃向民間社會組織提供1000臺免費設(shè)備，分發(fā)給全球范圍內(nèi)被評估為面臨監(jiān)控漏洞利用高風(fēng)險的個人。