Apple'i esimene vearaha maksab häkkeritele iOS-i vigade leidmise eest

Alates septembrist käivitab Apple veapreemiaprogrammi, mis maksab väljaspool turvauurijaid iOS -i ja iCloudi turvaaukude leidmise eest, teatas ettevõte täna.

Apple'i turvatehnika ja arhitektuuri juht Ivan Krstić kuulutas Las Vegases toimunud küberjulgeolekukonverentsil BlackHat toimunud ettekandes välja programmi, mis on ettevõtte jaoks esimene omataoline.

Hüvitisprogramm sisaldab esialgset eelvalitud mitukümne teadlase rühma ja maksab alates 25 000 dollarist haavatavuste eest, mis võimaldavad juurdepääsu kasutajaandmetele spetsiaalsest sektsioonist, mida nimetatakse liivakastiks, kuni 200 000 dollarini iOS -i seadmete kõige põhilisemate koodide turvaaukude eest. Viimane auhind, mis on tööstuse üks suurimaid, näitab ärakasutamise tõsidust, mis võib häkkeritele võimaldada täieliku juurdepääsu lukustatud iPhone'ile.

'Kui müüte need valitsusele, on need miljonidollarilised vead,' ütles Securosis analüütik Rich Mogull.

Eraturvaettevõtete (ja tõenäoliselt valitsusasutuste) seas on juba mõnda aega olnud turg Apple'i tarkvara haavatavuste jaoks. 2015. aastal nõustus turvakäivitus Zerodium maksma häkkeritele seitsmekohalise summa iOS -i kasutamine . Ja FBI eeldas selle aasta alguses see maksis välisfirmale miljon dollarit, et saada juurdepääs San Bernardino laskuri Syed Farooki telefonile.

Nüüd soovib Apple häkkerid enda nimel tööle panna. Bug bounty programmid, mis julgustavad häkkereid tarkvara turvalisust parandama, mitte seda lõhkuma, pärinevad vähemalt kahe aastakümne tagant Netscape'ist, kuigi programmid on viimastel aastatel muutunud palju populaarsemaks. Mõnel tehnoloogia suurimal ettevõttel, sealhulgas Facebookil, Google'il ja Microsoftil, on oma hüved. Ja nüüd on olemas hulk idufirmasid putukapreemiate seadistamiseks , mida praegu on sadu . Apple, kes on tuntud oma tarkvara tiheda kontrollimise poolest, oli olnud märkimisväärne vearaha hoidmine kuni praeguseni.

Kuigi paljud veapreemiaprogrammid on avalikkusele avatud-see tähendab, et igaüks võib jahti pidada ja turvavigu esitada-, vastavalt Bugcrowd'i 2016. aasta aruandele „The State of Bug Bounty“ on viimastel aastatel kasvanud ainult kutsega programmid, näiteks Apple. (Google, Facebook ja Microsoft käitavad avalikke programme.) Apple ei avalikustanud, milliseid turvauurijaid ta oma boonusprogrammis osalema valis.

Turu -uuringute firma Creative Strategies peaanalüütiku Ben Bajarini sõnul on Apple varemgi koostööd teinud väliste turvaettevõtetega. Bajarin ütles, et avalikkuse ette jõudmine on viis nende suhete vormistamiseks ja programmi laiendamiseks, võib -olla lõpuks väljaspool Apple'i eelvalitud teadlaste rühma.

'Siin on eesmärk seda laiendada ja rohkem inimesi sisse lasta,' ütles Bajarin. 'Ma arvan, et nad kontrollivad seda alguses veidi.'

Tõepoolest, vigade hüvitis võib olla ettevõtetele nutikas viis suhete parandamiseks häkkerite ja turvalisusuuringute kogukonnaga üldiselt. Head vearaha programmid maksma õiglaselt ja arvestama häkkimise raskustega. Nende taga olevad ettevõtted parandavad avastatud vead kiiresti ja tekitavad head tahet ka selliste funktsioonide kaudu nagu edetabelid ja kuulsuste saalid häkkeritele. Halvad programmid maksavad halvasti ja plaastrid ei ilmu mitu kuud .

Apple, kes selle aasta alguses pidas FBIga palju avalikkuse ees võitlust San Bernardino tulistaja iPhone'ile juurdepääsu pärast, on kuuldavasti töötades selle nimel, et iOS -seadmed oleksid nii turvalised, et isegi ettevõte ei saa neid lõhkuda. Selles kontekstis võib veapreemiaprogrammi kasutuselevõttu pidada märgiks sellest, et Apple'i siseturvalisuse meeskondadel on üha raskem haavatavusi toota.

Mogulli sõnul nõuab Apple'i vearaha nii-öelda mõistete ärakasutatavat tõestamist-mitte ainult tüütuid vigu, vaid ka tegelikke haavatavusi, mida saaks reaalses maailmas kasutada.

'Apple toodab turul kõige turvalisemaid tarbijaseadmeid,' ütles ta. 'Konkreetseid vigu, mida nad otsivad, pole lihtne leida.'