Apple будет платить до 200000 долларов за найденные уязвимости их прошивки

После долгих лет нежелания платить за подвиги исследователей, Apple готова раздать до $ 200 000 за критические уязвимости, обнаруженные в последней версии прошивки и в новейших айфонах.

Apple, объявил программу в четверг на конференции по безопасности Black Hat в Лас-Вегасе. Она начинается в сентябре, и в отличие от щедрот программ, проводимыми другими крупными технологическими компаниями, вход будет только по приглашению.

Программа будет начинаться с нескольких десятков исследователей вручную подобранных Apple, хотя любой посторонний, предъявивший недостаток, может получить награду и ему будет предложено присоединиться к программе, сказал Иван Крстич, глава компании Apple по безопасности.

«Это не значит, что мы эксклюзивный клуб,» сказал он.

Apple, сказал, что они были готовы удвоить выплаты для исследователей, которые жертвуют свою награду на благотворительные цели.

Ричи Могулл, генеральный директор информационной безопасности фирмы Securosis, отметил, что программы по обнаружению ошибок могут иметь отрицательные стороны, и сказал, что это не то, что Apple, обязательно должен был сделать. Но он сказал, что это хорошее начало и что компания Apple может извлечь выгоду.

Могулл считает программа от Apple фокусируется на качестве по количеству и имеет четкую цель: найти ошибки годные для использования в ключевых областях прошивки, которые считаются высоким приоритетом. Это также вынуждает исследователей доказать влияние каких-либо недостатков, которые они находят с рабочим доказательством правильности концепции эксплойтов. Это сложнее, чем просто отправлять сообщения об ошибках, которые могут иметь решающее значение и оставлять их расследовать в компании.

Apple, будет платить до $ 200 000 за критические недостатки в безопасных компонентах загрузки встроенного программного обеспечения, до $ 100000 за действия, которые могут извлечь конфиденциальные материалы из Secure Enclave — защищенный чип, который выполняет криптографические операции в iPhone 5, а затем, 50 000 $ за ошибку, которая может привести к выполнению произвольного кода с привилегиями ядра, 50 000 $ за способы доступа к данным аккаунта ICloud на серверах Apple, без разрешения, и 25 000 $ на наличие уязвимостей, которые обеспечивают доступ «внутрипесочных» пользовательских данных за пределами песочницы.

У Apple, не всегда были лучшие отношения с сообществом безопасности. В то время как многие исследователи признают твердую безопасность продуктов компании Apple, он часто подвергался критике в вопросах безопасности. Apple, также является одним из последних крупных компаний, которая запустила программу поощрения безопасности.

Отвечая на вопрос аудитории на Black Hat, почему компания Apple так долго ждали, чтобы запустить программу охоты за ошибками, Крстич заявил, что компания услышала от исследователей, что обнаружение критических уязвимостей становится все труднее, и он хотел вознаградить тех, кто тратит время, чтобы сделать это.

Запись опубликована в рубрике Новости блога. Добавьте в закладки постоянную ссылку.