Valamennyi platformjára kiterjeszti bug bounty programját az Apple
Enged a biztonsági szakértők nyomásának a cég, és a talált bugokért kiosztott jutalmakat is alaposan felhizlalja, egymillió dollárnál húzva meg azok felső határát.
A Google után most az Apple is kiterjeszti a szoftvereiben felfedezett sebezhetőségekért jutalmakat osztó Bug Bounty programját, amely így már valamennyi szoftverplatformját magában foglalja. A cupertinói óriás aránylag későn, 2016-ban indította el első hasonló kezdeményezését, az ugyanakkor egészen mostanáig csak az iOS-es sérülékenységek bejelentését honorálta. Rövidesen azonban, mint a cég a Black Hat biztonsági konferencián bejelentette, az okostelefonos rendszer mellett a iPadOS-t, macOS-t, a watchOS-t és a tvOS-t, sőt az iCloudot is bevonja a programba, így már az utóbbiakban felfedezett biztonsági résekért is jár a jutalom.
A vállalat a talált hibákért kicsengetett fejpénzek maximumát is alaposan feltornázza. Eddig a cég a legsúlyosabb sebezhetőségekért legfeljebb 200 ezer dollárt fizetett ki, a bug bounty program kiterjesztésével azonban ez az összeg nem kevesebb mint ötszörösére, egymillió dollárra nő - ehhez persze a biztonsági szakértőknek rendkívül súlyos bugokat kell felfedezniük, hasonló összeget a cég a teljes körű, egyetlen felhasználói kattintást sem igénylő, távoli kernelkód-végrehajtásos támadásokért fizet ki. Persze a vállalat a kisebb bugok felfedezését is jutalmazza, a kijelzőfeloldást lehetővé tevő hibák megtalálását például akár 100 ezer, a felhasználói adatok kinyerését a zárt készülékekről akár 250 ezer dollárral honorálja - de a cég több más hibatípusért is hasonló összegeket fizet.
Ugyancsak említést érdemel, hogy a cég a kiadás előtt álló buildekben talált bugokért 50 százalékos bónuszt is hozzácsap a díjhoz. Ez kifejezetten hatásos lépés lehet a cégtől, hiszen a jóval nagyobb összeg arra motiválhatja a kutatókat, hogy már a megjelenés előtt elcsípjék a potenciálisan veszélyes szoftverhibákat, amelyek így később nem sodornak veszélybe felhasználókat.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az Apple bőkezűségét az elmúlt években biztonsági szakértők komoly elégedetlensége előzte meg: idén februárban egy kutató jelszólopásra alkalmas macOS zero-day sebezhetőséget talált, ám annak részleteit nem volt hajlandó közölni az Apple-lel, amíg az nem kezdi el jutalmazni a biztonsági rések felhasználóit, az iparágban egyébként széles körben bevett gyakorlatnak megfelelően. A vállalat most úgy tűnik beadta a derekát, jó eséllyel a fenti macOS hiba felfedezője mellett számos más biztonsági szakértő nyomásának is engedve.
A gyártó ráadásul nem csak a plusz anyagi motivációval segítené a kutatók munkáját: a bug bounty programban részt vevő, a vállalat által megbízhatónak ítélt szakértőknek iOS Security Research Device kezdeményezést is indít, amelynek keretében egy root jogosultságokkal, ssh-val és részletes debug funkciókkal felszerelt iPhone-t is kapnak, amelynek birtokában az Apple reményei szerint könnyebben bukkanhatnak rá a platform gyengeségeire.