Ден Пражак Apple сьогодні офіційно запустила програму винагороди за помилки, у рамках якої вона пропонує винагороду до одного мільйона доларів за виявлення серйозної вади безпеки в одній із її операційних систем або в iCloud. Таким чином компанія не тільки розширила програму, але й збільшила винагороди за пошук помилок.
Досі взяти участь у програмі Apple bug bounty можна було лише після отримання запрошення, і стосувалося воно лише системи iOS та супутніх пристроїв. Починаючи з сьогоднішнього дня, Apple винагородить будь-якого хакера, який знайде та опише недолік безпеки в iOS, macOS, tvOS, watchOS та iCloud.
Це може бути зацікавити вас
Петро Шкута Крім того, Apple збільшила максимальну винагороду, яку вона готова виплачувати в рамках програми, з початкових 200 4,5 доларів (1 мільйона крон) до цілого 23 мільйона доларів (50 мільйони крон). Однак отримати претензію щодо цього можливо лише за умови, що атака на пристрій відбудеться через мережу, без взаємодії з користувачем, помилка стосуватиметься ядра операційної системи та відповідатиме іншим критеріям. Виявлення інших багів, що дозволяють, наприклад, обійти захисний код пристрою, винагороджується сумами порядку сотень тисяч доларів. Програма поширюється навіть на бета-версії систем, але в них Apple збільшить винагороду ще на 1,5%, тож може виплатити до 34 мільйона доларів (XNUMX мільйони крон). Доступний огляд усіх нагород тут.
Щоб мати право на винагороду, дослідник повинен належним чином і детально описати помилку. Наприклад, необхідно вказати стан системи, в якій діє уразливість. Згодом Apple перевіряє, чи дійсно існує помилка. Завдяки детальному опису компанія також зможе швидше випустити відповідний патч.
Навіть наступного року Apple подарує обраним хакерам спеціальні iPhone для легшого виявлення помилок безпеки. Пристрої повинні бути модифіковані таким чином, щоб можна було отримати доступ до нижніх рівнів операційної системи, яка наразі дозволяє лише джейлбрейк або демонстраційні частини телефонів.
Для неї, не для неї. ?