Apple заплатит до $200 тысяч за найденные в ее устройствах уязвимости
Apple запустит программу поощрения за выявление уязвимостей в программном обеспечении ее устройств, пишет TechCrunch. Максимальное вознаграждение, на которое смогут рассчитывать сторонние специалисты, составит $200 тысяч, рассказал на конференции Black Hat руководитель отвечающего за безопасность устройств подразделения компании Иван Кристич.
Программа начнет действовать с 1 сентября 2016 года. На первом этапе в ней смогут участвовать только специалисты, с которыми Apple в прошлом сотрудничала по вопросам проверки безопасности ПО. В компании опасаются, что публичный запуск программы приведет к большому потоку отчетов, среди которых могут потеряться сообщения о серьезных уязвимостях. Но Кристич не исключил, что в будущем программа будет расширена.
До этого момента Apple была одной из немногих крупных компаний, которые не пользуются программой bug bounty для поиска уязвимостей. «У Apple исторически были сложные отношения с [сторонними] исследователями. Но за последние 10 лет ситуация изменилась», - сказал Кристич. Он отметил, что программа поощрения - это еще один шаг в верном направлении.
В Apple объяснили, что ее собственным тестерам и партнерам становится все сложнее находить слабые места в продукции компании. Поэтому производитель iPhone решил предложить дополнительные стимулы.
Размер вознаграждения будет зависеть от важности обнаруженной уязвимости и составит от $20 тысяч до $200 тысяч. Так, за получение доступа к данным пользователей iCloud на серверах Apple специалист получит до $50 тысяч, а за обнаружение уязвимости в процессоре Secure Enclave, который отвечает за шифрование данных, - до $100 тысяч.
Размер фонда, выделенного на программу, в компании не назвали. Точную сумму вознаграждения Apple будет определять в зависимости от нескольких фактов: конкретика отчета, уровень опасности проблемы для пользователей и так далее.
