Apple представляет расширенную программу по борьбе с ошибками, которая охватывает macOS, tvOS, watchOS и iCloud, а также устройства iOS, заявил сегодня глава Apple по вопросам безопасности Иван Крстич на конференции Black Hat в Лас-Вегасе.
В августе 2016 года Apple представила свою программу вознаграждений за ошибки для устройств iOS, которая позволяет исследователям в области безопасности, обнаружившим ошибки в iOS, получать денежную выплату за раскрытие уязвимости для Apple. До этого устройства, не относящиеся к iOS, не включались, что ранее критиковалось сообществом безопасности.
Отсутствие у Apple программы вознаграждения за ошибки в macOS стало заголовком в начале этого года, когда немецкий подросток первоначально отказался передать подробности о серьезном недостатке безопасности в MacOS Keychain, потому что у Apple не было выплаты за это. В то время как он в конечном итоге предоставил информацию Apple, он сказал, что надеется, что его отказ вдохновит Apple на расширение своей программы вознаграждения за ошибки, что компания действительно и сделала.
С запуском новой программы вознаграждения за ошибки в macOS Apple открывает награды за ошибки всем исследователям в конце этого года и увеличивает максимальный размер вознаграждения с 200 000 долларов за эксплойт до 1 миллиона долларов в зависимости от характера уязвимости безопасности. Выполнение кода ядра с нулевым кликом с сохранением заработает максимальную сумму.
Исследователи, обнаружившие уязвимости в предварительном выпуске программного обеспечения до общего выпуска, могут претендовать на получение до 50-процентного бонуса в дополнение к базовой сумме вознаграждения за ошибки.
Как сообщалось ранее, на этой неделе Apple также планирует предоставить проверенным и заслуживающим доверия исследователям и хакерам безопасности «dev» айфоны, то есть специальные айфоны, которые обеспечивают более глубокий доступ к базовому программному обеспечению и операционной системе, что облегчит обнаружение уязвимостей.
Apple предоставляет эти iPhone в рамках своей новой программы iOS Security Research Device Program, которая будет запущена в следующем году. Цель Apple в этих новых усилиях по вознаграждению за ошибки заключается в том, чтобы побудить дополнительных исследователей в области безопасности раскрывать уязвимости, что в конечном итоге приведет к созданию более безопасных устройств для потребителей.