Η Apple Ups Bug Bounty Payouts, επεκτείνει την πρόσβαση σε όλους τους ερευνητές και λανσάρει το πρόγραμμα macOS

Η Apple εισάγει ένα διευρυμένο πρόγραμμα επιβράβευσης σφαλμάτων που καλύπτει macOS, tvOS, watchOS και iCloud καθώς και συσκευές iOS, ανακοίνωσε σήμερα το απόγευμα ο επικεφαλής μηχανικής ασφάλειας της Apple, Ivan Krstić, στο συνέδριο Black Hat στο Λας Βέγκας.

Η Apple παρουσίασε το πρόγραμμα επιβράβευσης σφαλμάτων για συσκευές iOS τον Αύγουστο του 2016, επιτρέποντας στους ερευνητές ασφαλείας που εντοπίζουν σφάλματα στο iOS να λαμβάνουν πληρωμή σε μετρητά για την αποκάλυψη της ευπάθειας στην Apple. Προηγουμένως, δεν περιλαμβάνονταν συσκευές χωρίς iOS, μια κίνηση που είχε προηγουμένως επικριθεί από την κοινότητα ασφαλείας.

Η έλλειψη προγράμματος επιβράβευσης σφαλμάτων από την Apple έγινε πρωτοσέλιδο νωρίτερα φέτος, όταν ένας Γερμανός έφηβος αρνήθηκε αρχικά να παραδώσει λεπτομέρειες για ένα σημαντικό ελάττωμα ασφαλείας του macOS Keychain επειδή η Apple δεν είχε πληρωμές. Ενώ τελικά παρείχε τις πληροφορίες στην Apple, είπε ότι ήλπιζε ότι η άρνησή του θα ενέπνευσε την Apple να επεκτείνει το πρόγραμμα επιβράβευσης σφαλμάτων, κάτι που πράγματι έκανε η εταιρεία.

Με την κυκλοφορία του νέου προγράμματος bounty bug macOS, η Apple ανοίγει τα bug bounties της σε όλους τους ερευνητές αργότερα φέτος και αυξάνει το μέγιστο μέγεθος του bounty από $200.000 ανά εκμετάλλευση σε $1 εκατομμύριο ανάλογα με τη φύση του ελαττώματος ασφαλείας. Μια εκτέλεση κώδικα πυρήνα με μηδέν κλικ με επιμονή θα κερδίσει το μέγιστο ποσό.

Οι ερευνητές που ανακαλύπτουν ευπάθειες σε λογισμικό προέκδοσης πριν από τη γενική κυκλοφορία μπορούν να πληρούν τις προϋποθέσεις για πληρωμή μπόνους έως και 50 τοις εκατό πάνω από το βασικό ποσό της επιβράβευσης σφαλμάτων.

Όπως αναφέρεται νωρίτερα αυτή την εβδομάδα , η Apple σχεδιάζει επίσης να παράσχει σε ελεγμένους και αξιόπιστους ερευνητές ασφαλείας και χάκερ iPhones 'dev', γνωστά και ως ειδικά iPhone που παρέχουν βαθύτερη πρόσβαση στο υποκείμενο λογισμικό και το λειτουργικό σύστημα που θα διευκολύνει τον εντοπισμό των τρωτών σημείων.

Η Apple παρέχει αυτά τα iPhone στο πλαίσιο του νέου Προγράμματος Ερευνητικής Συσκευής Ασφάλειας iOS, που θα κυκλοφορήσει τον επόμενο χρόνο. Ο στόχος της Apple με αυτές τις νέες προσπάθειες επιβράβευσης σφαλμάτων είναι να ενθαρρύνει πρόσθετους ερευνητές ασφάλειας να αποκαλύπτουν ευπάθειες, οδηγώντας τελικά σε πιο ασφαλείς συσκευές για τους καταναλωτές.

(Ευχαριστώ, SecuritySteve!)