Apple wprowadza rozszerzony program bug bounty, który obejmuje systemy macOS, tvOS, watchOS i iCloud, a także urządzenia z systemem iOS, poinformował dziś po południu szef inżynierii bezpieczeństwa Apple Ivan Krstić na konferencji Black Hat w Las Vegas.
Firma Apple wprowadziła swój program bug bounty dla urządzeń z systemem iOS w sierpniu 2016 r., umożliwiając badaczom bezpieczeństwa, którzy lokalizują błędy w systemie iOS, otrzymanie wypłaty pieniężnej za ujawnienie luki w zabezpieczeniach firmy Apple. Do tej pory nie uwzględniano urządzeń innych niż iOS, co było wcześniej krytykowane przez społeczność zajmującą się bezpieczeństwem.
Brak programu macOS bug bounty firmy Apple trafił na pierwsze strony gazet na początku tego roku, kiedy niemiecki nastolatek początkowo odmówił przekazania szczegółów poważnej luki w zabezpieczeniach pęku kluczy macOS, ponieważ Apple nie otrzymał wypłaty. Chociaż ostatecznie przekazał informacje Apple, powiedział, że ma nadzieję, że jego odmowa zainspiruje Apple do rozszerzenia programu bug bounty, co firma rzeczywiście zrobiła.
Wraz z uruchomieniem nowego programu macOS bug bounty, Apple otwiera swoje nagrody dla wszystkich badaczy jeszcze w tym roku i zwiększa maksymalny rozmiar nagrody z 200 000 $ za exploit do 1 miliona w zależności od charakteru luki w zabezpieczeniach. Wykonanie kodu jądra z zerowym kliknięciem z trwałością zapewni maksymalną kwotę.
Badacze, którzy odkryją luki w oprogramowaniu w wersji wstępnej przed wydaniem ogólnym, mogą kwalifikować się do wypłaty do 50% premii oprócz podstawowej kwoty nagrody za błąd.
Jak donosi wcześniej w tym tygodniu Apple planuje również dostarczyć sprawdzonym i zaufanym badaczom bezpieczeństwa i hakerom „deweloperskie” iPhone'y, czyli specjalne iPhone'y, które zapewniają głębszy dostęp do podstawowego oprogramowania i systemu operacyjnego, co ułatwi wykrywanie luk w zabezpieczeniach.
Apple dostarcza te iPhone'y w ramach nowego programu iOS Security Research Device Program, który zostanie uruchomiony w przyszłym roku. Celem firmy Apple w ramach tych nowych nagród za błędy jest zachęcenie dodatkowych badaczy bezpieczeństwa do ujawniania luk w zabezpieczeniach, co ostatecznie prowadzi do bardziej bezpiecznych urządzeń dla konsumentów.
(Dzięki, SecuritySteve!)
Popularne Wiadomości