Apple'ın böcek ödül programı, kaliteden ödün vermeyi tercih ediyor

Yıllardır araştırmacıları istismarlar için ödeme konusunda isteksiz olduktan sonra, Apple, ABD'de bulunan kritik güvenlik açıkları için 200.000 ABD dolarına kadar el koymaya hazırdır. iOS'un en yeni versiyonu ve en yeni iPhone'lar.

Apple, Perşembe günü Las Vegas'taki Black Hat güvenlik konferansında programı duyurdu. Eylül ayında başlıyor ve diğer büyük teknoloji şirketlerinin yürüttüğü ödül programlarının aksine sadece davet edilecek.

Program, almaya hak kazanan bir kusuru gönderen bir yabancıya rağmen, Apple tarafından toplanan birkaç düzine araştırmacıyla başlayacak. Bir ödül ve programa katılmaya davet edildi, dedi Apple Güvenlik Mühendisliği ve Mimarlık Müdürü Ivan Krstić.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

"Bu özel bir amaç değil. dedi.

Apple, ödüllerini bağışçılara bağışlayan araştırmacıların ödemelerini iki katına çıkarmak istediğini belirtti.

Bilgi güvenliği şirketi Securosis CEO'su Rich Mogull, bug ödülü programlarının olumsuz etkilerinin olabileceğini belirtti. ve Apple'ın mutlaka yapması gereken bir şey olmadığını söyledi. Ancak bunun iyi bir başlangıç ​​olduğunu ve Apple'ın faydalanabileceği bir şey olduğunu söyledi.

Bazı şirketler "hükümetler ve iyi finanse edilen suç örgütleri ile bir ihale savaşı yapmak istemiyorlar. Bazı istismarlar için bir milyon dolar, "Mogull bir blog yazısında söyledi.

Herkese açık hata ödül programları, hata düzeltmelerine yol açmayan düşük kaliteli raporlar biçiminde çok fazla gürültü üretebilir, ancak yine de araştırmak için mühendislik kaynakları tükettiğini söyledi.

Mogull, Apple'ın programının nicelikten çok kaliteye odaklandığını ve net bir hedefe sahip olduğunu düşünüyor: yüksek öncelikli olarak kabul edilen iOS'un önemli alanlarındaki sömürülebilir hataları bulmak. Aynı zamanda araştırmacıları, çalışma kanıtı ispatları ile karşılaştıkları kusurların etkisini kanıtlamak için zorlar. Kritik olabilecek ve şirketin araştırmasını engelleyen hatalar göndermekten daha zor.

Apple, güvenli önyükleme bellenimi bileşenlerinde kritik hatalar için 200.000 $ 'a kadar ödeme yapacaktır. Enclave Processor - iPhone 5s ve daha sonraki sürümlerde kriptografik işlemleri gerçekleştiren güvenli çip, hatalar için rasgele kod yürütmesiyle sonuçlanabilecek hatalar için 50.000 dolar, yetkilendirilmeden Apple'ın sunucularında iCloud hesap verilerine erişme yolları için 50.000 ABD doları ve güvenlik açıkları için 25.000 ABD doları sandbox işleminin içinden bu sanal alanın dışındaki kullanıcı verilerine erişim sağlar.

Bu ödül, beş tür kusurun her birini bulmanın zorluğunu yansıtır. Krstić dedi.

Apple her zaman en iyi ilişkiye sahip değildi. güvenlik topluluğu. Pek çok araştırmacı Apple ürünlerinin sağlam güvenliğini kabul ederken, güvenlik sorunları hakkında iletişim kurma veya yeterince iletişim kurmamaları nedeniyle sıklıkla eleştirilmiştir. Apple, aynı zamanda, bir güvenlik ödülleri programı başlatan son büyük şirketlerden biridir.

iOS pazarından tamamen ödün verebilecek güvenlik açıkları, gri piyasanın en yüksek fiyatlarından bazılarıdır. IOS 9 ortaya çıktığında, devlet kurumlarını müşterileri arasında sayan bir istismar komisyoncusu, tarayıcı tabanlı bir jailbreak için 1 milyon dolar teklif etti. Bu, yalnızca bir web sitesini ziyaret ederek iOS'a root erişimi kazandıran bir istismardı. FBI ayrıca, San Bernardino atıcılarından biri olan Syed Farook'un kilitli iPhone'undaki verilere erişmek için bilgisayar korsanlarından bir iOS istismarını da satın aldı.

Black Hat'taki izleyici tarafından sorulduğunda Apple neden bir ödül başlatmak için çok bekledi? Program, Krstić, şirketin araştırmacılardan kritik güvenlik açıklarını bulmanın giderek zorlaştığını ve bunu yapmak için zaman ayıranları ödüllendirmek istediğini söyledi.