蘋果成立全新安全研究網站

蘋果上周設立了全新的安全研究網站（Apple Security Research），它是蘋果的安全研究中樞，可供資安研究人員提報安全漏洞，申請蘋果安全研究裝置，也提供了蘋果平臺的安全指南與技術支援，以及揭露與說明蘋果最新安全機制及演進。

蘋果表示，該公司自2016年就開始小規模地邀請研究人員參與蘋果的抓漏獎勵專案（Apple Security Bounty），並於2019年對外開放，從2019年迄今，總計已頒發近2,000萬美元的獎金，在產品類別的平均支出為4萬美元，並有20個安全漏洞的獎勵金額超過10萬美元。

此外，即日起蘋果將開放研究人員申請加入新一輪的安全研究裝置（Security Research Device，SRD）計畫，獲准加入的研究人員將可取得一支特別配置的iPhone，不必繞過安全功能就能展開iOS的安全研究，可執行任何工具，選擇所想要的權限，甚至是客製化核心，同時必須將所發現的安全漏洞提交給蘋果或適當的第三方，該計畫的申請截止日為11月30日。SRD計畫支援包括美國、新加坡、南韓與日本等數十個國家，但並未包括臺灣或中國。

蘋果還罕見地對外分享應用於Mac、iPhone與iPad上的XNU核心技術，主要是XNU記憶體的安全升級，首個主題為記憶體分配器kalloc_type。

蘋果指出，該公司的基本策略是設計一個可讓多數鎖定記憶體毀損漏洞的攻擊都變得不可靠的分配器，此舉將可限制許多記憶體臭蟲所能造成的影響。在此一技術文章中，蘋果解釋了打造kalloc_type的動機，分析其特色與弱點，期望對於研發防禦性緩解措施的安全研究人員有所幫助。