Danas Pražakas „Apple“ šiandien oficialiai pristatė visuomenei skirtų klaidų programą, pagal kurią ji siūlo iki vieno milijono dolerių atlygį už rimto saugumo trūkumo atradimą vienoje iš operacinės sistemos arba „iCloud“. Taip įmonė ne tik išplėtė programą, bet ir padidino atlygį už klaidų radimą.
Iki šiol „Apple“ klaidų bounty programoje buvo galima dalyvauti tik gavus pakvietimą, o tai lietė tik „iOS“ sistemą ir susijusius įrenginius. Nuo šiandien „Apple“ apdovanos visus įsilaužėlius, radusius ir aprašiusius „iOS“, „macOS“, „tvOS“, „watchOS“ ir „iCloud“ saugos trūkumus.
Tai gali būti jus domina
Petras Škuta Be to, „Apple“ padidino maksimalų atlygį, kurį ji nori mokėti pagal programą, nuo pradinių 200 4,5 USD (1 mln. kronų) iki viso 23 mln. USD (50 mln. kronų). Tačiau gauti pretenziją dėl to galima tik darant prielaidą, kad ataka prieš įrenginį įvyks tinkle, be vartotojo sąveikos, klaida bus susijusi su operacinės sistemos branduoliu ir atitiks kitus kriterijus. Kitų klaidų atradimas – leidžiantis, pavyzdžiui, apeiti įrenginio saugos kodą – atlyginamas šimtų tūkstančių dolerių sumomis. Programa taikoma net sistemų beta versijoms, tačiau jose „Apple“ padidins atlygį dar 1,5%, todėl gali išmokėti iki 34 mln. dolerių (XNUMX mln. kronų). Yra visų apdovanojimų apžvalga čia.
Kad galėtų gauti atlygį, tyrėjas turi tinkamai ir išsamiai aprašyti klaidą. Pavyzdžiui, reikia nurodyti sistemos, kurioje veikia pažeidžiamumas, būseną. Vėliau „Apple“ patikrina, ar klaida iš tikrųjų egzistuoja. Dėl išsamaus aprašymo įmonė taip pat galės greičiau išleisti atitinkamą pataisą.
Net kitais metais Apple atrinktiems įsilaužėliams padovanos specialius iPhone telefonus kad būtų lengviau aptikti saugumo klaidas. Įrenginius reikėtų modifikuoti taip, kad būtų galima pasiekti žemesnius operacinės sistemos sluoksnius, kurie šiuo metu leidžia tik jailbreak arba demonstracinius telefonų gabalus.
Jai, o ne jai. ?