481
Apple подвоює винагороди за виявлення вразливостей і багів
— Технології&Авто
Apple оголосила про зміни у своїй програмі винагород за уразливості та деталізувала нові суми.
Про це повідомляє Engadget.
Скільки Apple платитиме дослідникам безпеки
Найвищу базову виплату подвоєно з $1 млн до $2 млн для «zero-click» ланцюжків експлойтів, які досягають цілей, подібних до атаки меркантильного шпигунського ПЗ. В окремих сценаріях загальна сума може сягати понад $5 млн, якщо знайдена вада стосується, наприклад, бета-ПЗ або дає змогу обійти посилений режим захисту Lockdown Mode у Safari.
Збільшено й інші категорії. За ланцюжки, що вимагають один клік користувача, тепер передбачено до $1 млн замість $250 000. За атаки з близької фізичної відстані також можна отримати до $1 млн (проти попередніх $250 000). Максимум за уразливості, що потребують фізичного доступу до заблокованого пристрою, зріс до $500 000. Окремо Apple платить до $300 000 за демонстрацію виконання коду в компоненті WebContent у зв’язці з виходом із «пісочниці».
Компанія підкреслює, що системні атаки на iOS, які вона бачила «в полі», походили від шпигунських інструментів, пов’язаних із державними структурами. Нові механізми захисту, зокрема Lockdown Mode і Memory Integrity Enforcement, ускладнюють експлуатацію типових вад пам’яті, однак зловмисники адаптуються. Тому збільшені виплати мають стимулювати глибокі дослідження найкритичніших поверхонь атаки попри зростання їх складності.
За словами віцепрезидента Apple з безпеки Івана Крстича, з моменту запуску та розширення програми компанія вже виплатила понад $35 млн більш як 800 дослідникам. Максимальні чеки трапляються рідко, але Apple неодноразово винагороджувала знахідки на $500 000, коли дослідники показували надійно відтворювані ланцюжки з мінімальним слідом.
Верхню межу винагороди Apple востаннє переглядала на рівні $1 млн для «zero-click» атак, тож нинішнє подвоєння та окремі бонуси за бета-помилки й обходи захисних режимів формують один із найвищих «прайсів» у галузі. Фокус зміщено на складні багатокрокові ланцюжки, що наближені до інструментів шпигунських кампаній, а не на ізольовані дрібні вади.
Компанія розраховує, що підвищені виплати пришвидшать відповідальні розкриття й допоможуть закривати критичні діри до того, як їх використають реальні атакувальники.
За матеріалами: dev.ua
Поділитися новиною
Також за темою
Apple подвоює винагороди за виявлення вразливостей і багів
Samsung представила доступний смартфон із «зарядженою» камерою
Які професії найбільше схильні до заміни штучним інтелектом — дослідження
Що найчастіше ламається в електромобілях
Найпопулярніші гібридні авто вересня: нові та вживані
Honda пришвидшує розробку нових авто, використовуючи передові симулятори
