За найденные уязвимости на устройствах Apple можно получить до $1 млн

На прошедшей в Лас-Вегасе конференции Black Hat Security Conference глава отдела безопасности Apple Иван Крстич анонсировал расширение программы по поиску уязвимостей. Теперь за обнаружение серьёзной угрозы можно получить до $1 млн.

Запущенная в 2016 году программа по поиску уязвимостей распространялась только на iOS, а максимальный размер выплат за обнаруженные в системе дыры составлял $200 тыс. Теперь программа включает в себя не только iOS, но и всю остальную экосистему Apple - macOS, tvOS, watchOS и iCloud. Кроме того, если ранее Apple предлагала вознаграждения только приглашенным исследователям, которые пытались найти уязвимые места в продукции компании, то теперь возможность испытать свои силы и получить вознаграждение будет у всех желающих. С момента запуска программы хакерам удалось выявить 50 серьезных уязвимостей.

Apple заявила, что миллион будет выдаваться в том случае, если специалист сможет найти уязвимость, которая позволит ему получить полный контроль над телефоном без какого-либо взаимодействия с владельцем. Еще $500 тысяч будут предоставлены тем, кто сможет обнаружить «сетевую атаку, не требующую взаимодействия с пользователем». Также существует 50% бонус для тех специалистов, кто сможет найти слабые места в программном обеспечении до его выпуска.

Эксперт в области безопасности Патрик Уордл одобрил решение Apple расширить программу поиска уязвимостей. Ранее этот специалист неоднократно находил слабые места в операционке Apple. Поскольку ранее награда за найденные ошибки не предлагалась, Уордл сразу обнародовал данные об уязвимостях, не передавая информацию компании для исправления "багов".

Уордл неоднократно критиковал Apple за то, что та не выплачивает премии за выявленные бреши. По мнению Уордла, тем самым компания толкает ИБ-экспертов на "темную сторону": вместо того, чтобы сообщить разработчику об ошибках, специалистам выгоднее продать информацию теневым брокерам, скупающим данные об уязвимостях для дальнейшего использования в неблаговидных целях.

Ранее СМИ писали о том, что правительственные организации и сторонние компании предлагают до $2 млн за наиболее эффективные способы взлома iPhone, которые позволяют извлечь хранящуюся в памяти устройства информацию. Теперь же Apple готова выплатить вознаграждение, которое по своей величине сопоставимо с суммами, предлагаемыми некоторыми сторонними компаниями.

Источник: MacRumors

Обсуждение

22.08.2019, 11:44
Всю награду целиком — $1 млн — заплатят взломщику ядра iOS.  :)  Ещё $500 000 назначены за успешную сетевую атаку без ведома пользователя.
Оставить сообщение
Обсуждение на форуме целиком