Apple допустит всех желающих к поиску багов

Apple допустит всех желающих к поиску багов

На конференции Black Hat, прошедшей в Лас-Вегасе в начале августа, компания Apple объявила о существенных изменениях в своей программе bug bounty. Представители корпорации пообещали открыть конкурс этичных хакеров для всех желающих, а также рассказали о планах продажи специальных версий iPhone с частично отключенными механизмами безопасности ограниченному кругу ИБ-специалистов.

В своем выступлении директор по архитектуре и инжинирингу безопасности Apple Айван Крштич (Ivan Krstić) сообщил, что осенью этого года компания начнет выдавать вознаграждения всем исследователям, обнаружившим уязвимости в продуктах компании. В данный момент это закрытый конкурс — поиском багов занимаются лишь одобренные ИБ-специалисты.

Представители Apple также объявили о расширении списка платформ, для которых будет действовать Bug Bounty. Помимо iOS в него вошли:

  • iPadOS;
  • watchOS;
  • iCloud;
  • tvOS;
  • macOS.

Кроме этого, Крштич пообещал, что суммы вознаграждений этичным хакерам вырастут. По его словам, максимальная выплата по программе составит миллион долларов — столько получит исследователь, обнаруживший сетевую уязвимость уровня ядра, эксплуатация которой не требует взаимодействия с пользователем. Вдвое меньше вендор готов заплатить за информацию об атаке, результатом которой станет компрометация важных пользовательских данных.

Выполнение кода на уровне ядра, обход блокировки экрана, несанкционированный доступ к iCloud и другие баги оценены от $100 тыс. до $250 тыс.

Еще одним нововведением стала программа исследований безопасности устройств на базе iOS, в рамках которой Apple будет предоставлять доверенным ИБ-аналитикам специальные версии iPhone с пониженным уровнем защиты. Такие смартфоны ранее были доступны только разработчикам для тестирования безопасности отдельных компонентов устройств. Аппараты предоставляют SSH-доступ к оболочке ядра, а также обладают расширенными возможностями для отладки.

Компания Apple объявила о запуске программы bug bounty три года назад. На старте максимальное вознаграждение составляло $200 тыс., а в списке исследуемых платформ указывали iCloud и iOS.

Источник: //threatpost.ru/apple-opens-bug-bounty-for-everyone/33769/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *