Dan Pražák Apple je danes uradno predstavil svoj program nagrajevanja hroščev za javnost, v katerem ponuja nagrado do enega milijona dolarjev za odkritje resne varnostne napake v enem od njegovih operacijskih sistemov ali v iCloudu. Podjetje tako ni le razširilo programa, temveč je povečalo tudi nagrade za iskanje napak.
Doslej je bilo v Applovem bug bounty programu mogoče sodelovati le po prejemu povabila, zadeval pa je le sistem iOS in z njim povezane naprave. Od danes naprej bo Apple nagradil vsakega hekerja, ki najde in opiše varnostno napako v sistemih iOS, macOS, tvOS, watchOS in iCloud.
Lahko bi bilo te zanima
Petru Škuti Poleg tega je Apple povečal največjo nagrado, ki jo je pripravljen plačati v okviru programa, s prvotnih 200 dolarjev (4,5 milijona kron) na cel milijon dolarjev (1 milijonov kron). Zahtevek za to pa je mogoče dobiti le ob predpostavki, da se bo napad na napravo zgodil preko omrežja, brez interakcije uporabnika, napaka bo zadevala jedro operacijskega sistema in izpolnjevala druge kriterije. Odkritje drugih hroščev – ki na primer omogočajo obhod varnostne kode naprave – je nagrajeno z vsotami reda stotisočev dolarjev. Program velja celo za beta različice sistemov, a znotraj teh bo Apple zvišal nagrado še za 23 %, tako da lahko izplača do 50 milijona dolarjev (1,5 milijonov kron). Na voljo je pregled vseh nagrad zde.
Da je raziskovalec upravičen do nagrade, mora napako ustrezno in podrobno opisati. Določiti je treba na primer stanje sistema, v katerem deluje ranljivost. Apple naknadno preveri, ali napaka dejansko obstaja. Zahvaljujoč podrobnemu opisu bo podjetje lahko tudi hitreje izdalo ustrezni popravek.
Tudi naslednje leto Apple bo izbranim hekerjem podelil posebne iPhone za lažje odkrivanje varnostnih napak. Naprave naj bi bile spremenjene tako, da bo mogoče pridobiti dostop do nižjih plasti operacijskega sistema, ki trenutno omogoča le jailbreak ali demo kose telefonov.
Zanjo, ne zanjo. ?