Программа по поиску уязвимостей в iOS провалилась: хакеры не сообщают Apple об ошибках
В интервью для Motherboard исследователи, приглашенные для участия в программе Apple по поиску уязвимостей в iOS, рассказали, что уязвимости операционной системы слишком ценные, чтобы сообщать о них компании. Хакеры неохотно делятся с Apple о найденных багах, так как на сером рынке эта информация стоит больше.
«Люди могут заработать больше, если продадут найденные уязвимости другим, - заявил Никис Бассен, специалист по информационной безопасности в Zimperium, который присоединился к программе поиска уязвимостей Apple в прошлом году. - Если вы занимаетесь этим только ради денег, то вы не будете сообщать об уязвимостях Apple».
Из десяти опрошенных специалистов ни один не отправил отчет Apple.
Объявленная на конференции Black Hat 2016 программа по обнаружению багов в iOS направлена на выявление уязвимостей нулевого дня и повышение безопасности платформы.
Максимальный размер гонорара в рамках bounty-программы Apple составляет $200 000. Причем компания ограничила поле деятельности хакеров. Поиск уязвимостей проводится в пяти конкретных категориях, самая приоритетная из которых - встроенные программы защищенной загрузки. Цель - исключить возможность запуска неавторизованных программ во время включения устройства, на котором установлена iOS.
Есть и менее щедрые выплаты. Например, за неавторизованный доступ к данным iCloud на серверах Apple компания заплатит $50 000, а за доступ к данным пользователей - $25 000.
Частные компании, такие как Zerodium, готовы заплатить хакерам более $1,5 млн за полный набор уязвимостей, позволяющих установить джейлбрейк на iPhone. Другие фирмы согласны принять отчеты об «дырах» в iOS за $500 000, но стоимость зависит от ценности бага. Компании утверждают, что действуют в рамках закона и продают информацию об обнаруженных уязвимостях компаниям, которые хотят защитить свои системы либо правоохранительным органам.
Хакеры отказываются сообщать Apple об уязвимостях и потому, что это ставит под угрозу их собственные исследования. iOS обладает очень серьезной системой безопасности, что усложняет процесс поиска уязвимостей. Предоставление информации о бреши безопасности Apple гарантирует, что в скором времени ее исправят, а это явно не нужно хакерам.
Приглашенные Apple исследователи в области безопасности попросили компанию предоставить специальный iPhone либо «устройство для разработчиков», которые будут лишены определенных ограничений, обычно присутствующий в общедоступных моделях. Эти образцы позволили бы хакерам сообщать Apple об ошибках и проводить исследования глубоко в iOS. Apple отказалась предоставить подобные устройства.
В настоящий момент bounty-программы есть у многих крупных компаний, в том числе у Facebook, Google, Microsoft и Yahoo. Microsoft, запустившая инициативу четыре года назад, уже выплатила хакерам в общей сложности $1,5 млн. Компания тоже предлагает высокие гонорары за поиск определенных типов уязвимостей. Две самых крупных выплаты равнялись $100 000 каждая.