Apple a anunțat extinderea domeniului de aplicare și plățile programului său de recompense de securitate. După ce a făcut prima dată programul numai pentru invitație, acum încurajează toți cercetătorii de securitate să participe. Mai mult decât atât, cercetătorii care descoperă până acum exploatări necunoscute în sistemele și serviciile de operare Apple pot câștiga până la 1,5 milioane de dolari, o cotă uriașă din capacitatea anterioară de 200.000 $.
La începutul acestui an, șeful Apple al ingineriei de securitate Ivan Krstić a vorbit la conferința Black Hat de la Las Vegas, Nevada, pentru a schița planurile companiei de a-și îmbunătăți programul de recompense pentru securitate. La acea vreme, Krstić a remarcat că Apple va extinde accesul și plățile. Prin extinderea abonamentului și a plății programului, Apple poate ajuta la reducerea probabilității de a exploata orice sunt descoperit va cădea în mâinile greșite.
Pentru a fi eligibil, problema trebuie să fie pe cea mai recentă versiune a sistemelor de operare de lansare Apple, cu o configurație standard și, după caz, pe hardware-ul disponibil public. Cercetătorii trebuie să fie primul care raportează problema la securitatea Produsului Apple și trebuie să îndeplinească și alte cerințe.
Fondurile se încadrează în cinci categorii largi: iCloud, atac la dispozitiv prin acces fizic, atac la dispozitiv prin aplicația instalată de utilizator, atac la rețea cu interacțiunea utilizatorului și atac la rețea fără interacțiune cu utilizatorii, cu plăți maxime cuprinse între 100.000 USD pentru un exploat iCloud până la 1 milion USD pentru o „execuție a codului kernel cu clic zero cu persistență și bypass PAC al kernel-ului.”
O plată de până la 1,5 milioane de dolari ar fi posibilă, deoarece Apple oferă, de asemenea, un bonus de 50% pentru „problemele care nu sunt cunoscute de Apple și sunt unice pentru betas-urile dezvoltate și pentru cele publice, inclusiv pentru regresii”.
Apple a menționat că, pe lângă recompensele financiare, oferă recunoaștere publică cercetătorilor care depun rapoarte valide. De asemenea, acesta se va potrivi cu donațiile plăților de recompensă pe care le face unor organizații de caritate calificate. Mai multe detalii sunt disponibile pe site-ul dezvoltator Apple.
Termenii mai generoși ai Apple o vor ajuta să-și consolideze și mai mult securitatea sistemului de operare, sau credeți că acest lucru este valabil? Sună în comentarii.
