Valamennyi platformjára kiterjeszti bug bounty programját az Apple
Enged a biztonsági szakértők nyomásának a cég, és a talált bugokért kiosztott jutalmakat is alaposan felhizlalja, egymillió dollárnál húzva meg azok felső határát.
A Google után most az Apple is kiterjeszti a szoftvereiben felfedezett sebezhetőségekért jutalmakat osztó Bug Bounty programját, amely így már valamennyi szoftverplatformját magában foglalja. A cupertinói óriás aránylag későn, 2016-ban indította el első hasonló kezdeményezését, az ugyanakkor egészen mostanáig csak az iOS-es sérülékenységek bejelentését honorálta. Rövidesen azonban, mint a cég a Black Hat biztonsági konferencián bejelentette, az okostelefonos rendszer mellett a iPadOS-t, macOS-t, a watchOS-t és a tvOS-t, sőt az iCloudot is bevonja a programba, így már az utóbbiakban felfedezett biztonsági résekért is jár a jutalom.
A vállalat a talált hibákért kicsengetett fejpénzek maximumát is alaposan feltornázza. Eddig a cég a legsúlyosabb sebezhetőségekért legfeljebb 200 ezer dollárt fizetett ki, a bug bounty program kiterjesztésével azonban ez az összeg nem kevesebb mint ötszörösére, egymillió dollárra nő - ehhez persze a biztonsági szakértőknek rendkívül súlyos bugokat kell felfedezniük, hasonló összeget a cég a teljes körű, egyetlen felhasználói kattintást sem igénylő, távoli kernelkód-végrehajtásos támadásokért fizet ki. Persze a vállalat a kisebb bugok felfedezését is jutalmazza, a kijelzőfeloldást lehetővé tevő hibák megtalálását például akár 100 ezer, a felhasználói adatok kinyerését a zárt készülékekről akár 250 ezer dollárral honorálja - de a cég több más hibatípusért is hasonló összegeket fizet.
Ugyancsak említést érdemel, hogy a cég a kiadás előtt álló buildekben talált bugokért 50 százalékos bónuszt is hozzácsap a díjhoz. Ez kifejezetten hatásos lépés lehet a cégtől, hiszen a jóval nagyobb összeg arra motiválhatja a kutatókat, hogy már a megjelenés előtt elcsípjék a potenciálisan veszélyes szoftverhibákat, amelyek így később nem sodornak veszélybe felhasználókat.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
Az Apple bőkezűségét az elmúlt években biztonsági szakértők komoly elégedetlensége előzte meg: idén februárban egy kutató jelszólopásra alkalmas macOS zero-day sebezhetőséget talált, ám annak részleteit nem volt hajlandó közölni az Apple-lel, amíg az nem kezdi el jutalmazni a biztonsági rések felhasználóit, az iparágban egyébként széles körben bevett gyakorlatnak megfelelően. A vállalat most úgy tűnik beadta a derekát, jó eséllyel a fenti macOS hiba felfedezője mellett számos más biztonsági szakértő nyomásának is engedve.
A gyártó ráadásul nem csak a plusz anyagi motivációval segítené a kutatók munkáját: a bug bounty programban részt vevő, a vállalat által megbízhatónak ítélt szakértőknek iOS Security Research Device kezdeményezést is indít, amelynek keretében egy root jogosultságokkal, ssh-val és részletes debug funkciókkal felszerelt iPhone-t is kapnak, amelynek birtokában az Apple reményei szerint könnyebben bukkanhatnak rá a platform gyengeségeire.