În cadrul Conferinței Black Hat de la finele acestei săptămâni – un eveniment anual creat pentru comunitatea globală InfoSec – șeful ingineriei securității al Apple, Ivan Krstic, a anunțat lansarea unui program de recompensare a celor ce găsesc erori. Acesta îi va răsplăti pe utilizatorii care găsesc erori importante și breșe de securitate în software-urile companiei americane, inclusiv iOS și macOS.
Multe dintre marile companii IT din lume, inclusiv Microsoft și Google, oferă de ceva vreme programe similare de recompensare pentru a-i încuraja pe experți și nu doar să caute și să raporteze cele mai importante vulnerabilități, însă până în momentul de față Apple a refuzat să ofere un program similar.
Conform celor de la TechCrunch, noul program de recompensare a celor de la Apple face parte dintr-un efort mai recent al companiei de a se deschide hackerilor, cercetătorilor cibernetici și criptografilor ce vor să ajute la îmbunătățirea securității companiei.
Cercetătorii vor primi recompense de până la 200.000$ pentru erorile găsite, în funcție de gravitatea și dimensiunea lor.
- Găsirea de probleme în componentele firmware-ului de pornire sigură: 200.000$.
- Extragerea de material confidențial protejat de Procesorul Enclavă Sigură: 100.000$
- Executarea de cod arbitrar cu privilegii kernel: 50.000$
- Acces neautorizat la datele unui cont iCloud de pe serverele Apple: 50.000$
- Accesarea dintr-un proces sandboxed a datelor utilizatorului din afara acelui sandbox: 25.000$
Important de menționat este că deși fiecare categorie de vulnerabilitate poate primi o recompensă ce atinge una dintre sumele de mai sus, Apple va determina sumele exacte de răsplătire în funcție de câțiva factori: claritatea vulnerabilității raportate, noutatea problemei, probabilitatea expunerii unui utilizator și gradul de interacțiune necesar pentru a valorifica vulnerabilitatea.
Noul program de recompensare a erorilor descoperite va fi lansat în luna septembrie de Apple. Pentru a fi eligibil pentru un premiu, cercetătorii vor trebui să ofere o dovadă a existenței erorii în cea mai recentă versiune de iOS și pe cele mai recente aparate ale companiei americane. Apple încurajează, de asemenea, cercetătorii să își doneze în scopuri caritabile câștigurile primite în cadrul acestui program de recompensare. În acest caz, gigantul american va dubla suma oferită de ei fundației caritabile.
Pentru o vreme noul program va fi disponibil numai pe bază de invitație și limitat la câțiva cercetători în domeniul securității. Apple intenționează să îl deschidă mai mult pe parcurs și să îi invite în program și pe cei ce nu fac parte din el.
Noutatea vine la câteva ore după ce Apple a lansat iOS 9.3.4 special pentru a rezolva vulnerabilitatea pe baza căreia a fost dezvoltată cea mai recentă soluție de jailbreak a Pangu. Ținând cont de recompense, va fi probabil tot mai puțin tentantă dezvoltarea de soluții de jailbreak, hackerii preferând probabil să câștige direct banii raportând erorile pe care le-ar putea exploata.
Tentant.