Големите ИТ корпорации със стотици милиони и дори милиарди потребители по света имат практика да стимулират откриването на уязвимости в техните продукти и услуги чрез щедри възнаграждения. Мизата постоянно се покачва, особено за критични бъгове.
През ноември Apple ще актуализира своята програма Security Bounty, предлагайки на изследователите по сигурността едни от най-високите награди в индустрията.
Максималната награда за откриване на вериги от експлойти, които могат да постигнат същите цели като сложните атаки на шпионски софтуер, се е увеличила от 1 милион долара на 2 милиона долара. Но откриването на най-критичните уязвимости може да донесе на спецовете невероятните 5 милиона долара.
Apple е готова да плати толкова големи суми за откриване на вериги от експлойти, които не изискват взаимодействие с потребителя. Под „най-критични уязвимости“ компанията разбира грешки в бета версиите на софтуера и заобикаляне на режима на блокиране в актуализираната архитектура за сигурност на браузъра Safari.
Освен това ИТ гигантът от Купертино увеличава наградата за откриване на вериги от експлойти, които използват действията на потребителите – от 250 000 долара на 1 милион долара. Подобна награда се предлага за откриване на атаки, които изискват физически достъп до устройства. Apple е готова да плати до 500 000 долара за докладване на успешни атаки с достъп до заключени устройства.
Изследователи, които могат да демонстрират верига за изпълнение на код за уеб съдържание, която излиза извън “пясъчника”, имат шанс да получат награда в размер до 300 000 долара.
От стартирането и разширяването на програмата през последните няколко години, компанията е платила приблизително 35 милиона долара на повече от 800 изследователи по сигурността, съобщи Иван Кръстич, вицепрезидент на Apple по инженерство и архитектура на сигурността.
Големите награди са сравнително редки, но е известно, че компанията е плащала многократно по 500 000 долара на т.нар. „бели хакери“.
Apple твърди, че единствените документирани атаки на системно ниво срещу iOS включват шпионски програми, които исторически са свързани с правителствени структури и обикновено са насочени към конкретни лица.
Компанията се надява, че нови функции като режим на блокиране и обезпечаване на целостта на паметта значително ще подобрят сигурността на нейните платформи.
Методите на киберпрестъпниците обаче се развиват и Apple се надява, че актуализираната програма за награди ще „стимулира авангардни изследвания на най-критичните вектори на атака, въпреки повишената сложност“.
