Apple-Uutiset

Apple Ups Bug Bounty -maksut, laajentaa pääsyä kaikille tutkijoille ja käynnistää macOS-ohjelman

Torstai 8. elokuuta 2019 klo 14:21 PDT, kirjoittanut Juli Clover

Apple esittelee laajennetun bug bounty -ohjelman, joka kattaa macOS:n, tvOS:n, watchOS:n ja iCloudin sekä iOS-laitteet, Applen tietoturvatekniikan johtaja Ivan Krstić ilmoitti tänään iltapäivällä Black Hat -konferenssissa Las Vegasissa.



Apple esitteli bug bounty -ohjelmansa iOS-laitteille elokuussa 2016, jolloin tietoturvatutkijat, jotka löytävät vikoja iOS:ssä, voivat saada käteismaksun haavoittuvuuden paljastamisesta Applelle. Aiemmin ei-iOS-laitteita ei ollut mukana, mikä on tietoturvayhteisö aiemmin kritisoinut siirtoa.

applebugbounty-maksut
Applen macOS-virhepalkkioohjelman puute nousi otsikoihin aiemmin tänä vuonna, kun saksalainen teini-ikäinen kieltäytyi alun perin luovuttamasta tietoja suuresta macOS-avainnipun tietoturvavirheestä, koska Applella ei ollut maksua. Vaikka hän lopulta toimitti tiedot Applelle, hän sanoi toivovansa, että hänen kieltäytymisensä innostaisi Applea laajentamaan bugipalkkioohjelmaa, minkä yritys onkin tehnyt.



Uuden macOS-bugipalkkioohjelman julkaisun myötä Apple avaa virhepalkkionsa kaikille tutkijoille myöhemmin tänä vuonna ja se nostaa palkkion enimmäiskokoa 200 000 dollarista hyödyntämistä kohti miljoonaan dollariin tietoturvavirheen luonteesta riippuen. Nollanapsautus ytimen koodin suorittaminen sitkeästi ansaitsee suurimman summan.

Tutkijat, jotka löytävät haavoittuvuuksia julkaisua edeltävästä ohjelmistosta ennen yleistä julkaisua, voivat saada jopa 50 prosentin bonuspalkkion perusvirhepalkkion lisäksi.

Kuten raportoitu aiemmin tällä viikolla , Apple aikoo myös tarjota tarkastetuille ja luotettaville tietoturvatutkijoille ja hakkereille 'dev' iPhone -puhelimia, eli erityisiä iPhoneja, jotka tarjoavat syvemmän pääsyn taustalla olevaan ohjelmistoon ja käyttöjärjestelmään, mikä helpottaa haavoittuvuuksien havaitsemista.

omenatutkimuslaiteohjelma
Apple tarjoaa nämä iPhonet osana uutta iOS Security Research Device Program -ohjelmaa, joka julkaistaan ​​ensi vuonna. Applen tavoitteena on näillä uusilla bugipalkkiopyrkimyksillä kannustaa muita tietoturvatutkijoita paljastamaan haavoittuvuuksia, mikä johtaa viime kädessä turvallisempiin laitteisiin kuluttajille.

(Kiitos, SecuritySteve!)