1305
Apple подвоює винагороди за виявлення вразливостей і багів
— Технології&Авто
Apple оголосила про зміни у своїй програмі винагород за уразливості та деталізувала нові суми.
Про це повідомляє Engadget.
Скільки Apple платитиме дослідникам безпеки
Найвищу базову виплату подвоєно з $1 млн до $2 млн для «zero-click» ланцюжків експлойтів, які досягають цілей, подібних до атаки меркантильного шпигунського ПЗ. В окремих сценаріях загальна сума може сягати понад $5 млн, якщо знайдена вада стосується, наприклад, бета-ПЗ або дає змогу обійти посилений режим захисту Lockdown Mode у Safari.
Збільшено й інші категорії. За ланцюжки, що вимагають один клік користувача, тепер передбачено до $1 млн замість $250 000. За атаки з близької фізичної відстані також можна отримати до $1 млн (проти попередніх $250 000). Максимум за уразливості, що потребують фізичного доступу до заблокованого пристрою, зріс до $500 000. Окремо Apple платить до $300 000 за демонстрацію виконання коду в компоненті WebContent у зв’язці з виходом із «пісочниці».
Компанія підкреслює, що системні атаки на iOS, які вона бачила «в полі», походили від шпигунських інструментів, пов’язаних із державними структурами. Нові механізми захисту, зокрема Lockdown Mode і Memory Integrity Enforcement, ускладнюють експлуатацію типових вад пам’яті, однак зловмисники адаптуються. Тому збільшені виплати мають стимулювати глибокі дослідження найкритичніших поверхонь атаки попри зростання їх складності.
За словами віцепрезидента Apple з безпеки Івана Крстича, з моменту запуску та розширення програми компанія вже виплатила понад $35 млн більш як 800 дослідникам. Максимальні чеки трапляються рідко, але Apple неодноразово винагороджувала знахідки на $500 000, коли дослідники показували надійно відтворювані ланцюжки з мінімальним слідом.
Верхню межу винагороди Apple востаннє переглядала на рівні $1 млн для «zero-click» атак, тож нинішнє подвоєння та окремі бонуси за бета-помилки й обходи захисних режимів формують один із найвищих «прайсів» у галузі. Фокус зміщено на складні багатокрокові ланцюжки, що наближені до інструментів шпигунських кампаній, а не на ізольовані дрібні вади.
Компанія розраховує, що підвищені виплати пришвидшать відповідальні розкриття й допоможуть закривати критичні діри до того, як їх використають реальні атакувальники.
За матеріалами: dev.ua
Поділитися новиною
Також за темою
Найнадійніші вживані авто після 10 років пробігу
Які моделі автівок купують найчастіше у Європі
Samsung співпрацюватиме з авіакомпаніями, щоб знаходити втрачений багаж за допомогою SmartTag
YouTube додав нову функцію — особисті підсумки року
ТОП-10 найшвидших автомобілів у світі
Buick випустив електрифіковане сімейне авто із запасом ходу понад 1300 км (фото)
