481
Apple удваивает вознаграждения за обнаружение уязвимостей и багов
— Технологии&Авто
Apple объявила об изменениях в своей программе вознаграждений за уязвимости и детализировала новые суммы.
Об этом сообщает Engadget.
Сколько Apple будет платить исследователям безопасности
Самая высокая базовая выплата удвоена с $1 млн до $2 млн для «zero-click» цепочек эксплойтов, достигающих целей, подобных атаке меркантильного шпионского ПО. В отдельных сценариях общая сумма может достигать более $5 млн, если найденный недостаток касается, например, бета-ПО или позволяет обойти усиленный режим защиты Lockdown Mode в Safari.
Увеличены и другие категории. За цепочки, требующие один клик пользователя, теперь предусмотрено до $1 млн вместо $250 000. За атаки с близкого физического расстояния также можно получить до $1 млн (против предыдущих $250 000). Максимум за уязвимости, требующие физического доступа к заблокированному устройству, вырос до $500 000. Отдельно Apple платит до $300 000 за демонстрацию выполнения кода в компоненте WebContent в связи с выходом из «песочницы».
Компания подчеркивает, что системные атаки на iOS, которые она видела «в поле», исходили от шпионских инструментов, связанных с государственными структурами. Новые механизмы защиты, в частности Lockdown Mode и Memory Integrity Enforcement, затрудняют эксплуатацию типичных изъянов памяти, однако злоумышленники адаптируются. Поэтому увеличенные выплаты должны стимулировать глубокие исследования наиболее критичных поверхностей атаки, несмотря на рост их сложности.
По словам вице-президента Apple по безопасности Ивана Крстыча, с момента запуска и расширения программы компания уже выплатила более $35 млн более 800 исследователям. Максимальные чеки встречаются редко, но Apple неоднократно вознаграждала находки на $500 000, когда исследователи показывали надежно воспроизводимые цепочки с минимальным следом.
Верхний предел вознаграждения Apple последний раз пересматривала на уровне $1 млн для «zero-click» атак, поэтому нынешнее удвоение и отдельные бонусы за бета-ошибки и обходы защитных режимов формируют один из самых высоких «прайсов» в отрасли. Фокус помещен на сложные многошаговые цепочки, приближенные к инструментам шпионских кампаний, а не на изолированные мелкие изъяны.
Компания рассчитывает, что повышенные выплаты ускорят ответственные раскрытия и помогут закрывать критические дыры до того, как их используют реальные атакующие.
По материалам: dev.ua
Поделиться новостью
Также по теме
Apple удваивает вознаграждения за обнаружение уязвимостей и багов
Samsung представила доступный смартфон с «заряженной» камерой
Какие профессии наиболее склонны к замене искусственным интеллектом — исследование
Чаще всего ломается в электромобилях
Самые популярные гибридные авто сентября: новые и б/у
Honda ускоряет разработку новых авто, используя передовые симуляторы
