Apple увеличила выплату по bug bounty до миллиона долларов
Apple приняла решение о расширении программы bug bounty. Сейчас специалисты будут получать вознаграждение не только за нахождение уязвимостей в iPhone, но и в Mac и MacBook, а также в Apple TV и Apple Watch. Максимальная сумма вознаграждения достигнет миллиона долларов. На сегодня это самая высокая цена за нахождение багов на рынке.
Идея программы проста: вы находите уязвимость, информируете о ней Apple, компания исправляет уязвимость, а вы взамен получаете денежную выплату. Эти программы чрезвычайно популярны в технической индустрии, так как помогают финансировать исследователей в области безопасности в обмен на выявление серьезных недостатков ПО, которые в противном случае могли бы использоваться злоумышленниками.
Apple заявила, что миллион будет выдаваться в том случае, если специалист сможет найти уязвимость, которая позволит ему получить полный контроль над телефоном без какого-либо взаимодействия с владельцем. Еще $500 тысяч будут предоставлены тем, кто сможет обнаружить «сетевую атаку, не требующую взаимодействия с пользователем». Также существует 50% бонус для тех специалистов, кто сможет найти слабые места в программном обеспечении до его выпуска. При этом начиная с осени программа будет открыта для всех исследователей. Ранее право на получение вознаграждений имели только те, кто участвовал в программе по приглашению от компании.
Кроме того, участники bug bounty получат от Apple специальные айфоны, работающие на более открытой версии iOS. У участников не будет доступа к защищённым разделам, однако, как сообщает Forbes, спецустройства облегчат поиск уязвимостей.
Apple запустила свою программу поиска уязвимостей ещё в 2016 году, однако размер вознаграждения до этого года был гораздо скромнее — $200 тысяч. Кроме того, деньги за найденный баг мог получить далеко не каждый специалист. Например, в январе этого года школьник Грант Томпсон нашёл ошибку в групповых звонках по FaceTime. Уязвимость давала доступ к звуку и видео с устройства собеседника до того, как он поднимал трубку. Грант пытался сообщить в компанию о найденной ошибке в течение девяти дней, однако у него ничего не вышло. Баг был исправлен только в феврале.
Кроме того, в начале года пользователь Линус Хенце обнаружил уязвимость, которая позволяла следить за паролями в macOS. Вознаграждения он не дождался и отказался раскрывать подробности.
Как рассказал изданию TechCrunch Патрик Уордл, эксперт по безопасности компании Jamf, ранее он находил несколько уязвимостей в устройствах Apple, однако компания долго отказывалась от вознаграждения за ошибки.
«Конечно, они наняли много невероятно талантливых исследователей и специалистов по безопасности, но до сих пор никогда не имели прозрачных взаимовыгодных отношений с внешними независимыми исследователями. Конечно, [эта программа] — победа для Apple, но в конечном итоге это огромная победа для конечных пользователей её продукции», — считает Уордл.
