Η Apple «ανοίγει» το πρόγραμμα bug bounty της σε όλους
1 min readΤον περασμένο Αύγουστο, η Apple στο συνέδριο Black Hat μέσω του Ivan Krstić, του επικεφαλής του τμήματος «Security Engineering and Architecture» της Apple, ανακοίνωσε επίσημα την έναρξη του νέου προγράμματος bug bounty της για να ενθαρρύνει ερευνητές στον τομέα της ασφάλειας να αναζητήσουν κενά ασφαλείας, ευπάθειες και σφάλματα στο λειτουργικό σύστημα iOS.
Μέχρι πρόσφατα το πρόγραμμα που είχε ανακοινώσει ήταν «invitation-based» (το 2016 ήταν η πρώτη φορά που αναφερθήκαμε στο επίσημο πρόγραμμα bug bounty της εταιρείας), αφού η εταιρεία είχε δώσει προτεραιότητα σε μία επιλεγμένη λίστα ερευνητών που γνώριζε και συνεργαζόταν, ωστόσο δεν είχε αποκλείσει τη δυνατότητα συμμετοχής στο πρόγραμμα για όσους εντόπιζαν κάποιο σοβαρό bug.
Τώρα ωστόσο η Apple επίσημα «ανοίγει» το πρόγραμμα σε όλους τους ερευνητές ασφαλείας, και αυξάνει την μέγιστη αμοιβή από τις $200 χιλιάδες στο $1,5 εκατομμύριο, ανακοινώνοντας ότι δέχεται αναφορές ευπαθειών και για τα λειτουργικά συστήματα iPadOS, macOS, tvOS, watchOS και iCloud πέρα από του iOS.
Η Apple δημοσίευσε και μία νέα σελίδα στο website της που εξηγεί τους κανόνες του προγράμματος bug bounty ενώ αναφέρεται με λεπτομέρειες και στις αμοιβές για τους ερευνητές που θα υποβάλλουν σχετικές αναφορές για τα exploits που ανακάλυψαν. Προκειμένου να είναι σε θέση να διεκδικήσουν κάποια αμοιβή, οι ερευνητές ασφαλείας θα πρέπει να είναι οι πρώτοι που θα αναφέρουν την ανακάλυψη τους στην Apple, θα πρέπει να παρέχουν μία σαφή αναφορά για το λειτουργικό exploit και δεν θα πρέπει να αποκαλύψουν δημοσίως το ζήτημα. Για να κερδίσουν την μεγαλύτερη δυνατή ανταμοιβή, οι ερευνητές ασφαλείας θα πρέπει να εντοπίσουν σφάλματα και κενά ασφαλείας που είναι νέα, που επηρεάζουν πολλαπλές πλατφόρμες, που λειτουργούν με το τελευταίο hardware και software και που επηρεάζουν ευαίσθητα στοιχεία.
Η εύρεση ευπαθειών σε εκδόσεις beta των λειτουργικών συστημάτων της Apple θα αποφέρει στους ερευνητές ασφαλείας ακόμα περισσότερα χρήματα, καθώς η Apple τις επιδοτεί με 50% πάνω από την κανονική αμοιβή. Η εταιρεία επίσης ανακοίνωσε ότι θα πληρώσει 50% επιπλέον στην περίπτωση που ανακαλυφθούν bugs που έχουν επιδιορθωθεί σε παλαιότερες εκδόσεις των λειτουργικών της συστημάτων, και επανεμφανίστηκαν κατά λάθος στον κώδικα της σε μεταγενέστερο στάδιο. Η εύρεση ευπαθειών που μπορούν να προκαλέσουν one-click ή zero-click επιθέσεις επιβραβεύονται επίσης με μεγάλα ποσά αλλά οι ερευνητές θα πρέπει να υποβάλλουν μία έκθεση περιγράφοντας την πλήρη αλυσίδα της επίθεσης για να διεκδικήσουν την αμοιβή τους.
Πηγή: insomnia.gr