Apple відкрила для всіх бажаючих програму виплати винагород за виявлені вразливості (bug bounty)
Apple відкрила для всіх бажаючих програму виплати винагород за виявлені вразливості (bug bounty)
Apple відкрила для всіх бажаючих свою раніше закриту програму виплати винагород за виявлені вразливості (bug bounty). Про це представники компанії повідомили на конференції Black Hat USA 2019, що проходила цього тижня у Лас-Вегасі. Крім відкриття програми, Apple також додала до неї MacOS, tvOS, watchOS та iCloud і збільшила суму винагороди за деякі вразливості до $1 млн.
Компанія вперше запустила свою програму bug bounty у 2016 році, і досі в ній можна було брати участь лише на запрошення. Для участі приймалися повідомлення про вразливість лише в обмеженому колі продуктів, а максимальна сума винагороди становила $200 тис. Стільки компанія платила за вразливість в апаратному забезпеченні, наприклад, у компонентах прошивки, відповідальних за безпечне завантаження. Тепер вона готова заплатити $1 млн за повідомлення про вразливості, за допомогою яких зловмисник може здійснити мережеву атаку без участі користувача, що дозволяє виконати код на рівні ядра зі збереженням персистентності.
Apple також збільшила суму винагороди за інші вразливості. За повідомлення про вразливості, що дозволяють здійснити мережеву атаку без жодного кліку з боку користувача, за допомогою якої зловмисник може отримати доступ до цінних конфіденційних даних дослідників тепер належить $500 тис. Ще 50% цієї суми зверху отримають дослідники, які виявили вразливості до офіційного релізу ПЗ.