Apple въвежда разширена програма за награждаване на грешки, която обхваща macOS, tvOS, watchOS и iCloud, както и устройства с iOS, обяви днес следобед ръководителят на инженерната сигурност на Apple Иван Кръстич на конференцията на Black Hat в Лас Вегас.
Apple представи своята програма за възнаграждение за грешки за устройства с iOS през август 2016 г., позволявайки на изследователите по сигурността, които откриват грешки в iOS, да получат парично изплащане за разкриване на уязвимостта пред Apple. Преди това не бяха включени устройства, различни от iOS, ход, който преди това беше критикуван от общността за сигурност.
Липсата на Apple на програма за награждаване на грешки в macOS направи заглавията по-рано тази година, когато германски тийнейджър първоначално отказа да предаде подробности за голям пропуск в сигурността на macOS Keychain, защото Apple нямаше изплащане. Въпреки че в крайна сметка той предостави информацията на Apple, той каза, че се надява отказът му да вдъхнови Apple да разшири своята програма за награждаване на грешки, което компанията наистина е направила.
С пускането на новата програма за награди за грешки в macOS, Apple отваря своите бонуси за грешки за всички изследователи по-късно тази година и увеличава максималния размер на наградата от $200 000 за експлойт на $1 милион в зависимост от естеството на грешката в сигурността. Изпълнението на код на ядрото с нулево щракване с постоянство ще спечели максималната сума.
Изследователите, които открият уязвимости в софтуера преди пускането на версията преди общата версия, могат да се класират за до 50 процента бонус изплащане върху основната сума на наградата за грешки.
Както се съобщава по-рано тази седмица Apple също така планира да предостави на проверени и доверени изследователи по сигурността и хакери с „dev“ iPhones, известни още като специални iPhone, които осигуряват по-дълбок достъп до основния софтуер и операционна система, което ще улесни откриването на уязвимости.
Apple предоставя тези iPhone като част от новата си програма за изследване на сигурността на iOS, която стартира следващата година. Целта на Apple с тези нови усилия за награждаване на грешки е да насърчи допълнителни изследователи по сигурността да разкриват уязвимости, което в крайна сметка води до по-сигурни устройства за потребителите.
(Благодаря, SecuritySteve!)
Популярни Публикации