Apple усиливает поддержку исследователей в области безопасности с помощью специальных iPhone, предлагающих более глубокий доступ и увеличивая верхний предел, выплачиваемый искателям ошибок.
Объявление было сделано на конференции по кибербезопасности Black Hat в этом году в Лас-Вегасе Иваном Крстичем, главой службы безопасности Apple.
Первая часть объявления относится к специальным iPhone, которые предлагают доступ к ssh, корневой оболочке и тому, что было описано как «расширенные возможности отладки». Новые телефоны будут предлагаться в рамках того, что Крстич назвал новым исследованием безопасности iOS от Apple. Программа устройств, которая будет запущена в следующем году. Хотя любой может подать заявку на получение одного из телефонов, для квалифицированных исследователей они будут строго ограничены. Крстич сказал, что:
«Это беспрецедентная платформа для исследования безопасности iOS, полностью поддерживаемая Apple».
Наряду с новой программой Krstic также сообщил подробности увеличения сумм, которые Apple будет платить исследователям, которые обнаруживают ошибки. Баунти-программа теперь открыта для всех; до сих пор вы должны были быть приглашены для участия. Он также будет открыт для уязвимостей безопасности, обнаруженных на всех платформах Apple, включая не только iOS, но и macOS, tvOS и watchOS. Предлагаемая сумма также была увеличена с текущего лимита в 200 000 долларов США до 1 миллиона долларов США.
Исследователи безопасности критиковали Apple за то, что она не платила за уязвимости, обнаруженные в ее операционных системах, отличных от iOS. Еще в феврале независимый исследователь безопасности обнаружил слабое место в MacOS, которое, как он показал, может быть использовано вредоносным ПО для получения доступа к паролям, закрытым ключам и токенам из связки ключей пользователя. Исследователь Линус Хенце отказался предоставить данные Apple, поскольку компания на тот момент ничего не платила за недостатки MacOS.
Отныне Apple будет платить независимо от того, какая операционная система скомпрометирована, с повышенными лимитами, увеличивающимися со 100 000 долларов за успешную атаку физического доступа, которая позволяет обойти экран блокировки iPhone или несанкционированный доступ к учетной записи iCloud пользователя, до 1 миллиона долларов за атаку. Атака с нулевым щелчком, полная цепочка выполнения кода ядра с настойчивостью, такая как хакер, пытающийся получить полный контроль над iPhone без каких-либо действий пользователя.
Apple также пообещала, что любой, кто обнаружит и сообщит об уязвимости в предварительном выпуске программного обеспечения до общего выпуска, получит до 50 процентов больше, чем обычно, за эту категорию уязвимостей.
.