苹果支付黑客75,000美元，用于在Safari中发现0day摄像头漏洞

苹果向黑客支付了75,000美元，以识别Safari浏览器软件中的多个0day漏洞，其中一些漏洞可用于劫持MacBook或iPhone上的摄像头。

0day漏洞是指软件开发人员和公众所不知道的软件安全漏洞，尽管悄悄利用它的攻击者可能已经知道了。

安全研究员瑞安·皮克伦共发现了7个漏洞。这些漏洞涉及Safari解析统一资源标识符、管理Web起源和初始化安全上下文的方式，其中三个漏洞使他通过诱骗用户访问恶意网站来访问摄像机。瑞安·皮克伦称，这样的错误说明了为什么用户永远不应该完全相信自己的摄像头是安全的，而与操作系统或制造商无关。”

皮克伦于2019年12月通过苹果的漏洞赏金计划报告了他的研究。苹果立即验证了所有7个漏洞，并在几周后为摄像头安全性发布了修复程序。该漏洞已在1月28日发布的Safari 13.0.5中进行了修补，而其他不那么严重的0day漏洞已在3月24日发布的Safari 13.1中进行了修补。

苹果于2019年12月向所有安全研究人员开放了其漏洞赏金计划。在此之前，苹果的漏洞赏金计划是基于邀请的，并且不包括非iOS设备。苹果还根据安全漏洞的性质，将每个漏洞的赏金上限额度从200,000美元提高到了100万美元。

在提交报告时，研究人员必须包括问题的详细说明，以及足以使苹果公司可靠地重现问题的足够信息。

今年，苹果计划为经过审查和值得信赖的安全研究人员和黑客提供「开发」iPhone，以提供对底层软件和操作系统的更深入访问，从而更容易发现漏洞。

这些iPhone手机都被设置为苹果公司即将推出的iOS的安全研究设备项目，该项目旨在鼓励更多的安全研究人员披露漏洞，最终能为消费者提供一部安全的苹果设备。