В Apple запускают программу премирования за выявление уязвимостей
Как было объявлено на конференции Black Hat 2016, компания Apple решила наконец начать выплату премий за выявление уязвимостей в последних версиях операционной системы iOS и смартфонах iPhone. В отличие от других компаний, Apple будет сама выбирать и приглашать исследователей к участию в программе. Впрочем, шанс получить премию и приглашение есть у всех, но для этого придется представить компании соответствующую требованиям информацию о выявленной уязвимости.
Директор фирмы Securosis Рич Могалл отмечает, что у программы Apple имеется четкая цель: выявление ошибок в ключевых компонентах операционной системы. Кроме того, условия обязывают исследователей продемонстрировать работающий способ использования этих ошибок для взлома системы. Таким образом, Apple больше интересует качество, а не количество сообщений об уязвимостях. У компании не было насущной необходимости начинать подобную программу, считает Могалл, но определенную пользу она принести может.
Apple готова выплачивать до 200 тыс. долл. за обнаружение уязвимости в компонентах безопасной загрузки, до 100 тыс. долл. за методы извлечения данных из криптографической схемы Secure Enclave Processor, по 50 тыс. за ошибки, ведущие к исполнению кода на уровне ядра и к доступу к данным в системе iCloud и по 25 тыс. - за ошибки, позволяющие получить доступ к данным за пределами изолированного процесса.