HWSW

Valamennyi platformjára kiterjeszti bug bounty programját az Apple

Enged a biztonsági szakértők nyomásának a cég, és a talált bugokért kiosztott jutalmakat is alaposan felhizlalja, egymillió dollárnál húzva meg azok felső határát.

A Google után [1] most az Apple is kiterjeszti a szoftvereiben felfedezett sebezhetőségekért jutalmakat osztó Bug Bounty programját, amely így már valamennyi szoftverplatformját magában foglalja. A cupertinói óriás aránylag későn, 2016-ban indította el [2]első hasonló kezdeményezését, az ugyanakkor egészen mostanáig csak az iOS-es sérülékenységek bejelentését honorálta. Rövidesen azonban, mint a cég a Black Hat biztonsági konferencián bejelentette, az okostelefonos rendszer mellett a iPadOS-t, macOS-t, a watchOS-t és a tvOS-t, sőt az iCloudot is bevonja a programba, így már az utóbbiakban felfedezett biztonsági résekért is jár a jutalom.

A vállalat a talált hibákért kicsengetett fejpénzek maximumát is alaposan feltornázza. Eddig a cég a legsúlyosabb sebezhetőségekért legfeljebb 200 ezer dollárt fizetett ki, a bug bounty program kiterjesztésével azonban ez az összeg nem kevesebb mint ötszörösére, egymillió dollárra nő - ehhez persze a biztonsági szakértőknek rendkívül súlyos bugokat kell felfedezniük, hasonló összeget a cég a teljes körű, egyetlen felhasználói kattintást sem igénylő, távoli kernelkód-végrehajtásos támadásokért fizet ki. Persze a vállalat a kisebb bugok felfedezését is jutalmazza, a kijelzőfeloldást lehetővé tevő hibák megtalálását például akár 100 ezer, a felhasználói adatok kinyerését a zárt készülékekről akár 250 ezer dollárral honorálja - de a cég több más hibatípusért is hasonló összegeket fizet.

Ugyancsak említést érdemel, hogy a cég a kiadás előtt álló buildekben talált bugokért 50 százalékos bónuszt is hozzácsap a díjhoz. Ez kifejezetten hatásos lépés lehet a cégtől, hiszen a jóval nagyobb összeg arra motiválhatja a kutatókat, hogy már a megjelenés előtt elcsípjék a potenciálisan veszélyes szoftverhibákat, amelyek így később nem sodornak veszélybe felhasználókat.

xAz Apple bőkezűségét az elmúlt években biztonsági szakértők komoly elégedetlensége előzte meg: idén februárban egy kutató jelszólopásra alkalmas macOS zero-day sebezhetőséget talált, [3] ám annak részleteit nem volt hajlandó közölni az Apple-lel, amíg az nem kezdi el jutalmazni a biztonsági rések felhasználóit, az iparágban egyébként széles körben bevett gyakorlatnak megfelelően. A vállalat most úgy tűnik beadta a derekát, jó eséllyel a fenti macOS hiba felfedezője mellett számos más biztonsági szakértő nyomásának is engedve.

A gyártó ráadásul nem csak a plusz anyagi motivációval segítené a kutatók munkáját: a bug bounty programban részt vevő, a vállalat által megbízhatónak ítélt szakértőknek iOS Security Research Device kezdeményezést is indít, amelynek keretében egy root jogosultságokkal, ssh-val és részletes debug funkciókkal felszerelt iPhone-t is kapnak, amelynek birtokában az Apple reményei szerint könnyebben bukkanhatnak rá a platform gyengeségeire.

A cikkben hivatkozott linkek:
[1] https://www.hwsw.hu/hirek/60590/google-bug-bounty-chrome-biztonsag.html
[2] https://www.hwsw.hu/hirek/55972/apple-bug-bounty-biztonsag-jutalom-sebezhetoseg.html
[3] https://www.theregister.co.uk/2019/02/07/mac_0day_disclosure/
A cikk adatai:
//www.hwsw.hu/hirek/60676/apple-bug-bounty-program-biztonsag.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2019. augusztus 09. 11:00
Rovat: vállalati it