09 августа 2019 года в09.08.2019 08:32 5 0 10 1

Apple заплатит хакерам до $1M за сообщения об уязвимостях

Apple заплатит хакерам до $1M за сообщения об уязвимостях

The Hacker News сообщил, что компания Apple только что обновила правила своей программы вознаграждений за поиск уязвимостей в программном обеспечении, объявив о нескольких значительных изменениях во время брифинга на ежегодной конференции по безопасности Black Hat.

Одним из самых привлекательных обновлений является то, что Apple значительно увеличила максимальную награду с $200K до $1M — это, несомненно, самая большая награда, предлагаемая крупными технологическими компаниями за сообщения об уязвимостях в своих продуктах.

Выплаты в размере $1M предусмотрены за выявление "смертоносного" эксплойта — уязвимости выполнения кода ядра с нулевым щелчком мыши, который позволяет осуществлять полный и постоянный контроль над ядром устройства. Выявление менее жестких эксплойтов будет оцениваться меньшими премиями.

Отныне программа вознаграждений Apple по поиску и устранению ошибок безопасности применима не только к мобильной операционной системе iOS, но и охватывает все ее операционные системы, включая MacOS, WatchOS, tvOS, iPadOS и iCloud.

Apple заплатит хакерам до $1M за сообщения об уязвимостях

С момента создания, около трех лет назад, программа вознаграждений Apple за обнаружение уязвимостей поощряет исследователей в сфере безопасности мобильной операционной системы iOS. Программа будет продолжаться до вступления в силу осенью этого года расширенной программы.

Со следующего года компания Apple также предоставит специальный iPhone (pre-jailbroken) ряду доверенных исследователей в области безопасности в рамках программы iOS Security Research Device Program. В этих iPhone пользователю будут предоставлены расширенные права доступа к оболочке iOS, чем в смартфонах, доступных для обычных пользователей, включая доступ к ssh, root shell и к расширенным возможностям отладки, что позволит искать уязвимости на уровне ядра операционной системы.

Хотя любой желающий может подать заявку на получение одного из этих специальных iPhone от Apple, компания будет раздавать только ограниченное количество таких устройств и только квалифицированным исследователям.

В дополнение к максимальной награде в $1M, Apple также предлагает бонус в 50% для исследователей, которые находят и сообщают об уязвимости безопасности в своей предрелизной версии программного обеспечения до ее публичного релиза, принося максимальную награду в $1.5M.

Вы можете подать заявку на пересмотренную программу вознаграждений Apple в этом году – она будет открыта для всех, а не для ограниченного числа экспертов по безопасности, одобренных Apple.

Расширение и значительное увеличение выплат в рамках программы вознаграждений Apple, вероятно, будут приветствоваться исследователями в области безопасности, которые публично раскрывают уязвимости, обнаруженные в продуктах Apple, либо продают их частным компаниям в сфере информационной безопасности, таким как: Zerodium, Cellebrite и Grayshift.

🌏 Оригинал публикации на иностранном языке

Комментарии

Зарегистрируйтесь или войдите, чтобы добавить комментарий

Новые публикации автора

Translator — С мира по блогу — с блога по строчке