яблоко наконец-то дает исследователям безопасности то, чего они хотели в течение многих лет: награду за ошибку MacOS.
В четверг технологический гигант объявил, что он выпустит программу за вознаграждение за ошибку, включающую в себя Mac и MacBook, а также Apple TV и Apple Watch, почти через три года после того, как она представила свою программу за вознаграждение за ошибку для iOS.
Идея проста: вы находите уязвимость, вы раскрываете ее Apple, они исправляют ее, а взамен вы получаете денежную выплату. Эти программы чрезвычайно популярны в технической индустрии, поскольку они помогают финансировать исследователей в области безопасности в обмен на серьезные недостатки безопасности, которые в противном случае могли бы быть использованы злоумышленниками, а также помогают устранить пробелы в поиске ошибок, продающих свои уязвимости для использования брокерами, и на черном рынке, которые могут злоупотреблять недостатками при проведении наблюдения.
Но Apple потянула ноги за то, что выкрутила награду за баги на своих компьютерах. Некоторые исследователи безопасности отказался сообщить недостатки безопасности для Apple в отсутствие щедрости за ошибки.
На конференции Black Hat в Лас-Вегасе глава службы безопасности и архитектуры Иван Крстич объявил, что программа будет работать вместе с существующей наградой для iOS.
Патрик Уордл, эксперт по безопасности и главный исследователь безопасности в Джамфе, сказал, что движение было «ежу понятно».
Уордл нашел несколько основные уязвимости безопасности а также упал ноль дней – подробные сведения о недостатках, опубликованные без предоставления компаниям возможности исправить ситуацию – в связи с отсутствием щедрости в MacOS. Он долго критиковал Apple за то, что у нее нет щедрости за ошибки, обвиняя компанию в том, что она оставляет за собой возможность для исследователей безопасности продавать свои недостатки, чтобы эксплуатировать брокеров, которые часто используют уязвимости по гнусным причинам.
«Конечно, они наняли много невероятно талантливых исследователей и специалистов по безопасности – но до сих пор никогда не имели прозрачных взаимовыгодных отношений с внешними независимыми исследователями», – сказал Уордл.
«Конечно, это победа для Apple, но в конечном итоге это огромная победа для конечных пользователей Apple», – добавил он.
Apple заявила, что откроет свою программу вознаграждений за ошибки для всех исследователей и увеличит размер вознаграждения с текущего максимума в 200 000 долларов за эксплойт до 1 миллиона долларов за непрерывную атаку на выполнение кода ядра с нулевым щелчком мыши, другими словами, если злоумышленник может получить полный контроль над телефоном без какого-либо взаимодействия с пользователем и просто зная номер телефона цели.
Apple также сообщила, что любой исследователь, обнаруживший уязвимость в предварительных выпусках, о которой сообщалось до выпуска общей версии, получит до 50% бонуса в дополнение к категории обнаруженной ими уязвимости.
Программы по защите от ошибок будут доступны всем исследователям безопасности начиная с конца этого года.
Компания также подтвердила отчет Forbes, опубликовано ранее на этой неделеГоворя о том, что в рамках новой программы iOS Security Research Device Device компания предоставит проверенным и надежным исследователям безопасности и хакерам несколько iPhone-разработчиков. Эти устройства представляют собой специальные устройства, которые предоставляют хакерам больший доступ к базовому программному обеспечению и операционной системе, помогая им находить уязвимости, которые обычно закрыты от других исследователей безопасности, таких как защищенная оболочка.
Apple заявила, что надеется, что расширение ее программы поощрения за ошибки привлечет больше исследователей к частному раскрытию недостатков безопасности, которые помогут повысить защиту своих клиентов.
Прочитайте больше:
Apple ограничивает рекламу и сторонние трекеры в приложениях для iPhone для детей
Новая книга смотрит на юридическую борьбу Apple с ФБР
Apple выдвинула тихое обновление Mac, чтобы удалить скрытый веб-сервер Zoom
Многие популярные приложения для iPhone тайно записывают ваш экран, не спрашивая
Apple осуждает австралийский «опасно неоднозначный» законопроект о борьбе с шифрованием
Apple Card значительно усложнит мошенничество с кредитными картами