蘋果升級(jí)漏洞賞金計(jì)劃對(duì)抗精密間諜軟件攻擊

隨著蘋果最新iPhone芯片新增的內(nèi)存安全特性使多類漏洞利用技術(shù)難度大幅提升，該公司全面升級(jí)了漏洞賞金計(jì)劃，將各類攻擊的獎(jiǎng)勵(lì)金額提高至原先的2-4倍。從下個(gè)月開始，研究人員向蘋果負(fù)責(zé)任披露的iOS零點(diǎn)擊系統(tǒng)級(jí)遠(yuǎn)程代碼執(zhí)行（RCE）漏洞利用鏈的獎(jiǎng)金將從100萬美元提升至200萬美元。

蘋果安全團(tuán)隊(duì)在博客中表示："我們將針對(duì)能達(dá)到精密商業(yè)間諜軟件攻擊同等效果的漏洞利用鏈的最高獎(jiǎng)金翻倍至200萬美元。這是業(yè)內(nèi)前所未有的金額，也是我們所知所有漏洞賞金計(jì)劃中的最高獎(jiǎng)勵(lì)——而我們的獎(jiǎng)金系統(tǒng)還能在此基礎(chǔ)上再翻倍，針對(duì)繞過鎖定模式（Lockdown Mode）的漏洞和測試版軟件中發(fā)現(xiàn)的安全問題提供額外獎(jiǎng)勵(lì)，最高獎(jiǎng)金可超過500萬美元。"

iOS和Android系統(tǒng)長期是監(jiān)控軟件供應(yīng)商的目標(biāo)，這些供應(yīng)商向全球情報(bào)機(jī)構(gòu)和執(zhí)法部門出售移動(dòng)監(jiān)控能力。盡管這些供應(yīng)商長期聲稱會(huì)嚴(yán)格審查客戶，但其軟件（通常通過零日漏洞部署）卻屢屢落入專制政權(quán)手中，用于監(jiān)控政治活動(dòng)人士和記者。其他由情報(bào)機(jī)構(gòu)自主研發(fā)或從灰色市場獲取的零日漏洞則被用于網(wǎng)絡(luò)間諜活動(dòng)。

蘋果今年已在iOS系統(tǒng)中修復(fù)了8個(gè)零日漏洞，2024年修復(fù)了6個(gè)。就在上個(gè)月，該公司修復(fù)了iOS ImageIO組件中的一個(gè)漏洞（CVE-2025-43300），該漏洞與WhatsApp中的零日漏洞（CVE-2025-55177）形成攻擊鏈，約200人成為攻擊目標(biāo)。

蘋果表示："我們?cè)趯?shí)際環(huán)境中觀察到的系統(tǒng)級(jí)iOS攻擊都來自商業(yè)間諜軟件——這些極其精密的漏洞利用鏈歷史上與國家行為體相關(guān)，開發(fā)成本高達(dá)數(shù)百萬美元，且僅針對(duì)極少數(shù)特定目標(biāo)。雖然鎖定模式和內(nèi)存完整性強(qiáng)制（Memory Integrity Enforcement）使此類攻擊的開發(fā)成本和技術(shù)難度大幅提升，但我們認(rèn)識(shí)到最先進(jìn)的攻擊者仍會(huì)持續(xù)進(jìn)化其技術(shù)。"

CPU級(jí)內(nèi)存安全改進(jìn)

隨著上月iPhone 17和iPhone Air的發(fā)布，蘋果推出了歷時(shí)五年研發(fā)的反漏洞利用技術(shù)"內(nèi)存完整性強(qiáng)制"（Memory Integrity Enforcement），該技術(shù)通過逐步向其CPU和軟件添加多個(gè)組件實(shí)現(xiàn)。

內(nèi)存完整性強(qiáng)制旨在大幅提高內(nèi)存破壞漏洞（特別是緩沖區(qū)溢出和釋放后使用漏洞）的利用難度。該技術(shù)利用了2019年發(fā)布的Arm內(nèi)存標(biāo)記擴(kuò)展（MTE）規(guī)范和2022年推出的增強(qiáng)型內(nèi)存標(biāo)記擴(kuò)展（EMTE）。

這些芯片級(jí)機(jī)制實(shí)現(xiàn)了內(nèi)存標(biāo)記和標(biāo)記檢查系統(tǒng)，使進(jìn)程分配的任何內(nèi)存都帶有秘密標(biāo)記，后續(xù)訪問該內(nèi)存的請(qǐng)求必須包含正確的秘密標(biāo)記。簡而言之，利用內(nèi)存破壞漏洞的關(guān)鍵在于將惡意字節(jié)碼寫入系統(tǒng)已分配給現(xiàn)有進(jìn)程（通常是存在漏洞的應(yīng)用程序）的內(nèi)存緩沖區(qū)，從而使該進(jìn)程以其權(quán)限執(zhí)行惡意代碼。如果目標(biāo)進(jìn)程是內(nèi)核組件，攻擊者就能獲得系統(tǒng)級(jí)任意代碼執(zhí)行權(quán)限。

采用MTE后，攻擊者現(xiàn)在還必須找到秘密標(biāo)記才能在標(biāo)記內(nèi)存緩沖區(qū)中進(jìn)行寫入操作而不被標(biāo)記，并避免目標(biāo)進(jìn)程被操作系統(tǒng)終止。然而，該技術(shù)仍存在缺陷和弱點(diǎn)，包括競爭條件窗口、異步寫入問題、可能因時(shí)序差異泄露標(biāo)記的側(cè)信道攻擊，以及Spectre v1等利用CPU緩存泄露數(shù)據(jù)（可能包括MTE標(biāo)記）的CPU推測執(zhí)行攻擊。

蘋果安全團(tuán)隊(duì)表示："最終我們確定，要實(shí)現(xiàn)真正一流的內(nèi)存安全性，需要在整個(gè)蘋果公司范圍內(nèi)開展大規(guī)模工程工作——包括對(duì)Apple芯片、操作系統(tǒng)和軟件框架的更新。這項(xiàng)工作與我們極為成功的安全內(nèi)存分配器工作相結(jié)合，將把MTE從有用的調(diào)試工具轉(zhuǎn)變?yōu)橥黄菩缘男掳踩δ堋?

難度提升帶來更高獎(jiǎng)勵(lì)

這項(xiàng)工作的成果就是蘋果現(xiàn)在所稱的內(nèi)存完整性強(qiáng)制（MIE），該功能已內(nèi)置在iPhone 17和iPhone Air系列搭載的新款A(yù)19和A19 Pro芯片中。MIE在iOS中用于保護(hù)整個(gè)內(nèi)核和70多個(gè)用戶態(tài)進(jìn)程，使針對(duì)這些目標(biāo)的內(nèi)存破壞漏洞利用難度大幅提升。

正因如此，蘋果決定提高漏洞賞金計(jì)劃的獎(jiǎng)勵(lì)金額。研究人員現(xiàn)在需要更具創(chuàng)造力，付出更多努力才能使漏洞利用鏈在最新的蘋果設(shè)備上生效。

不僅商業(yè)間諜軟件供應(yīng)商使用的頂級(jí)遠(yuǎn)程代碼執(zhí)行鏈獎(jiǎng)金有所提高。從下個(gè)月開始，許多依賴內(nèi)存破壞條件結(jié)合其他漏洞的攻擊類型也將獲得更高獎(jiǎng)勵(lì)：

• 應(yīng)用沙箱逃逸攻擊獎(jiǎng)金提高至50萬美元（原25萬美元）
• 需要物理接觸設(shè)備的攻擊獎(jiǎng)金提高至50萬美元（原25萬美元）
• 通過無線和射頻協(xié)議實(shí)施的近距離攻擊獎(jiǎng)金提高至100萬美元（原25萬美元）
• 需要用戶交互的單次點(diǎn)擊遠(yuǎn)程攻擊鏈獎(jiǎng)金提高至100萬美元（原25萬美元）
• 零點(diǎn)擊遠(yuǎn)程攻擊鏈獎(jiǎng)金提高至200萬美元（原100萬美元）

此外，單獨(dú)的或無法串聯(lián)成完整攻擊鏈的漏洞利用組件仍可獲得獎(jiǎng)勵(lì)，但金額較低。

蘋果還在操作系統(tǒng)中引入了所謂的"目標(biāo)標(biāo)志"（Target Flags），研究人員如果"捕獲"這些標(biāo)志，即使在修復(fù)程序開發(fā)和發(fā)布前也能加速獲得獎(jiǎng)金。這些目標(biāo)標(biāo)志旨在證明攻擊已達(dá)到某種能力水平（如寄存器控制、任意讀寫或代碼執(zhí)行），使蘋果能夠以編程方式驗(yàn)證所提交漏洞利用的影響。

額外獎(jiǎng)金可能使總獎(jiǎng)勵(lì)更高。例如，報(bào)告開發(fā)中或公開測試版中的漏洞利用可獲得額外獎(jiǎng)金，因?yàn)檫@使蘋果能在軟件推送到大量設(shè)備前修復(fù)問題。繞過iOS鎖定模式防護(hù)的漏洞利用也有資格獲得額外獎(jiǎng)金。

向活動(dòng)人士提供iPhone以對(duì)抗間諜軟件

由于蘋果認(rèn)為iPhone 17設(shè)備現(xiàn)在更難被間諜軟件供應(yīng)商攻擊，該公司計(jì)劃向民間社會(huì)組織提供1000臺(tái)免費(fèi)設(shè)備，分發(fā)給全球范圍內(nèi)被評(píng)估為面臨監(jiān)控漏洞利用高風(fēng)險(xiǎn)的個(gè)人。