11Aug
Η Apple άνοιξε αθόρυβα το πρόγραμμα bounty bug στο κοινό και προσφέρει έως και 1,5 εκατομμύρια δολάρια σε πληρωμές για σοβαρές ευπάθειες.
Προηγουμένως, το πρόγραμμα βασιζόταν σε προσκλήσεις και επιλέγονταν μόνο ερευνητές ασφαλείας που ήταν που εγκρίθηκαν επετράπη να συμμετάσχουν στο πρόγραμμα για την εύρεση τρωτών σημείων στη λειτουργία του κινητού iOS Σύστημα.
Διαβάστε επίσης - Ο έφηβος χάκερ βγάζει πάνω από 1 εκατομμύριο δολάρια σε σφάλματα λογισμικού κυνηγιού
Τώρα, η Apple έχει επεκτείνει το πρόγραμμα επιβράβευσης ασφαλείας για να δέχεται αναφορές ευπάθειας για τις πιο πρόσφατες εκδόσεις iOS, iPadOS, macOS, tvOS, watchOS και iCloud με τυπική διαμόρφωση και, κατά περίπτωση, με το πιο πρόσφατο δημοσίως διαθέσιμο υλικό, σύμφωνα με ένα Σελίδα Apple Security Bounty.
Η εταιρεία αύξησε επίσης την ανώτατη ανταμοιβή του bug bounty από $200.000 σε $1.500.000.
Η Apple δημοσίευσε επίσημα μια νέα σελίδα στον ιστότοπό της που περιγράφει λεπτομερώς τους κανόνες του προγράμματος bug bounty Πέμπτη, η οποία περιλαμβάνει την καταλληλότητα για το πρόγραμμα, την ανάλυση πληρωμών και τον τρόπο υποβολής των προγραμματιστών Αναφορές.
Για να πληροίτε τα κριτήρια για Apple Security Bounty, το πρόβλημα πρέπει να παρουσιάζεται στις πιο πρόσφατες δημόσια διαθέσιμες εκδόσεις του iOS, iPadOS, macOS, tvOS ή watchOS με τυπική διαμόρφωση και, κατά περίπτωση, με το πιο πρόσφατο διαθέσιμο υλικό.
Αυτοί οι κανόνες καταλληλότητας προορίζονται για την προστασία των πελατών έως ότου είναι διαθέσιμη μια ενημέρωση, διασφαλίζοντας ότι η Apple μπορεί επαληθεύστε γρήγορα τις αναφορές και δημιουργήστε τις απαραίτητες ενημερώσεις και επιβραβεύστε σωστά όσους κάνουν πρωτότυπες έρευνα. Οι ερευνητές πρέπει:
- Γίνετε το πρώτο μέρος που θα αναφέρει το ζήτημα στην Ασφάλεια προϊόντων Apple.
- Παρέχετε μια σαφή αναφορά, η οποία περιλαμβάνει ένα λειτουργικό exploit (αναλυτικά παρακάτω).
- Μην αποκαλύπτετε το ζήτημα δημοσίως προτού η Apple δημοσιεύσει την προειδοποίηση ασφαλείας για την αναφορά. (Γενικά, η συμβουλή κυκλοφορεί μαζί με τη σχετική ενημέρωση για την επίλυση του προβλήματος).
Ζητήματα που είναι άγνωστα στην Apple και είναι μοναδικά για καθορισμένες εκδόσεις beta προγραμματιστών και δημόσιες beta, συμπεριλαμβανομένων των παλινδρομήσεων, μπορεί να οδηγήσουν σε πληρωμή μπόνους 50%. Τα ζητήματα καταλληλότητας περιλαμβάνουν:
- Ζητήματα ασφαλείας που εισάγονται σε συγκεκριμένες εκδόσεις beta ή δημόσιες εκδόσεις beta για προγραμματιστές, όπως σημειώνεται σε αυτήν τη σελίδα όταν είναι διαθέσιμα. Δεν είναι όλοι οι προγραμματιστές ή οι δημόσιες beta είναι επιλέξιμες για αυτό το πρόσθετο μπόνους.
- Παλινδρόμηση ζητημάτων που επιλύθηκαν προηγουμένως, συμπεριλαμβανομένων εκείνων με δημοσιευμένες συμβουλές, που έχουν επανεισαχθεί σε μια έκδοση beta για προγραμματιστές ή σε δημόσια έκδοση beta, όπως σημειώνεται σε αυτήν τη σελίδα όταν είναι διαθέσιμη.
Επιπλέον, το πρόγραμμα επιβράβευσης σφαλμάτων της Apple θα πληρώσει μεταξύ 100.000 $ για ευπάθειες χαμηλής προτεραιότητας, όπως "μη εξουσιοδοτημένη πρόσβαση στα δεδομένα λογαριασμού iCloud στους διακομιστές της Apple" και 1 $ εκατομμύρια για «εκτέλεση κώδικα πυρήνα μηδενικού κλικ με εμμονή και παράκαμψη PAC του πυρήνα». Ωστόσο, οι ερευνητές θα πρέπει να υποβάλουν μια πλήρη αλυσίδα εκμετάλλευσης για να τα διεκδικήσουν ανταμοιβή.
Εκτός από τα κεφάλαια που δόθηκαν σε ερευνητές, η Apple θα αντιστοιχίσει δωρεές των πληρωμών επιχορηγήσεων με τις κατάλληλες φιλανθρωπικές οργανώσεις που αναφέρονται στο Ευεργεσία.
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με το πρόγραμμα επιβράβευσης σφαλμάτων της Apple στο τον αποκλειστικό ιστότοπό του.
Νωρίτερα φέτος, η Google ανακοινώθηκε θα πληρώσει έως και 1,5 εκατομμύρια δολάρια σε bug bounty για εξ αποστάσεως hacking Titan M Chip στα pixel smartphones της.
