BREAKING

0

Η Apple εγκαινιάζει πρόγραμμα εύρεσης ευπαθειών και δίνει έως και 200.000 δολάρια ανταμοιβή!

09Η Apple ανακοίνωσε, στο πλαίσιο του συνεδρίου ασφαλείας Black Hat USA 2016 που μόλις ολοκληρώθηκε στο Last Vegas, ότι θα ξεκινήσει ένα bug bounty πρόγραμμα μέσα στους επόμενους μήνες. Όπως διαβάζουμε στο secnews.gr, μεταξύ των ελίτ της Silicon Valley, η Apple ήταν από τους λίγους γίγαντες της τεχνολογίας που δεν έτρεχε ένα bug bounty πρόγραμμα.

bug bounty

Από την αμερικανική εταιρεία σημείωσαν ότι το πρόγραμμα θα λειτουργεί μόνο με προσκλήσεις στο πρώτο στάδιό του, με λίγους επιλεγμένους ερευνητές ασφαλείας να καλούνται να συμμετάσχουν.

Όταν το πρόγραμμα "ωριμάσει" και η ομάδα ασφαλείας της Apple συνηθίσει τη συνεργασία με ανεξάρτητους ερευνητές στις αναφορές σφαλμάτων, σιγά-σιγά θα ανοίξει και για περισσότερους ερευνητές και στη συνέχεια για ολόκληρη την INFOSEC κοινότητα.

Περίπου 24 ερευνητές ασφαλείας αναμένεται να ενταχθούν στο πρόγραμμα στην αρχική του φάση, ενώ η εταιρεία δεν αποκάλυψε αν θα αναπτύξει τη δική της πλατφόρμα για τη διαχείριση σφαλμάτων, όπως οι Facebook, Google και Microsof, ή αν θα χρησιμοποιήσει υπηρεσίες τρίτων από το HackerOne ή το Bugcrowd.

Ακόμα και αν δεν αναφέρθηκε στην παρουσίαση, το πρόσφατο FBiOS σκάνδαλο φαίνεται πως έπαιξε τεράστιο ρόλο στην απόφαση της Apple να λάβει εξωτερική βοήθεια για την "εξασφάλιση" των προϊόντων της και από hackers αλλά και από επιθέσεις με... κρατική υποστήριξη.

Κατά τη διάρκεια του φετινού Black Hat συνεδρίου ασφάλειας και άλλες πολλές εταιρείες ανακοίνωσαν bug bounty προγράμματα. Ο κατάλογος περιλαμβάνει την ρωσική εταιρεία κατασκευής antivirus Kaspersky Lab, την εταιρεία κατασκευής hardware Panasonic και τον οικονομικό γίγαντα MasterCard.

Παρακάτω είναι οι βαθμίδες ανταμοιβών που ανακοίνωσε η Apple για το πρώτο στάδιο του προγράμματος. Η εταιρεία σημείωσε ότι περαιτέρω σφάλματα θα ανταμειφθούν κατά την κρίση της. Επιπλέον, εάν οι ερευνητές αποφασίσουν να προσφέρουν την ανταμοιβή τους για φιλανθρωπικούς σκοπούς, η Apple μπορεί και να διπλασιάσει το ποσό. Ωστόσο, δεν υπάρχουν λεπτομέρειες σχετικά με ποια προϊόντα εμπίπτουν στο πεδίο εφαρμογής του bug bounty προγράμματός της.

Secure boot firmware components - Μέχρι και $200,000
Extraction of confidential material protected by the Secure Enclave Processor - Μέχρι και $100,000
Execution of arbitrary code with kernel privileges - Μέχρι και $50,000
Unauthorized access to iCloud account data on Apple servers - Μέχρι και $50,000
Access from a sandboxed process to user data outside of that sandbox - Μέχρι και $25,000

0 Comment