Jump to content

Recommended Posts

Posted

xM2e8WkPad63fK5TvWVgYM-970-80.jpg.c92d09

Μέχρι πρόσφατα το πρόγραμμα που είχε ανακοινώσει ήταν «invitation-based» (το 2016 ήταν η πρώτη φορά που αναφερθήκαμε στο επίσημο πρόγραμμα bug bounty της εταιρείας), αφού η εταιρεία είχε δώσει προτεραιότητα σε μία επιλεγμένη λίστα ερευνητών που γνώριζε και συνεργαζόταν, ωστόσο δεν είχε αποκλείσει τη δυνατότητα συμμετοχής στο πρόγραμμα για όσους εντόπιζαν κάποιο σοβαρό bug.

Τώρα ωστόσο η Apple επίσημα «ανοίγει» το πρόγραμμα σε όλους τους ερευνητές ασφαλείας, και αυξάνει την μέγιστη αμοιβή από τις $200 χιλιάδες στο $1,5 εκατομμύριο, ανακοινώνοντας ότι δέχεται αναφορές ευπαθειών και για τα λειτουργικά συστήματα iPadOS, macOS, tvOS, watchOS και iCloud πέρα από του iOS.

Η Apple δημοσίευσε και μία νέα σελίδα στο website της που εξηγεί τους κανόνες του προγράμματος bug bounty ενώ αναφέρεται με λεπτομέρειες και στις αμοιβές για τους ερευνητές που θα υποβάλλουν σχετικές αναφορές για τα exploits που ανακάλυψαν. Προκειμένου να είναι σε θέση να διεκδικήσουν κάποια αμοιβή, οι ερευνητές ασφαλείας θα πρέπει να είναι οι πρώτοι που θα αναφέρουν την ανακάλυψη τους στην Apple, θα πρέπει να παρέχουν μία σαφή αναφορά για το λειτουργικό exploit και δεν θα πρέπει να αποκαλύψουν δημοσίως το ζήτημα. Για να κερδίσουν την μεγαλύτερη δυνατή ανταμοιβή, οι ερευνητές ασφαλείας θα πρέπει να εντοπίσουν σφάλματα και κενά ασφαλείας που είναι νέα, που επηρεάζουν πολλαπλές πλατφόρμες, που λειτουργούν με το τελευταίο hardware και software και που επηρεάζουν ευαίσθητα στοιχεία.

Η εύρεση ευπαθειών σε εκδόσεις beta των λειτουργικών συστημάτων της Apple θα αποφέρει στους ερευνητές ασφαλείας ακόμα περισσότερα χρήματα, καθώς η Apple τις επιδοτεί με 50% πάνω από την κανονική αμοιβή. Η εταιρεία επίσης ανακοίνωσε ότι θα πληρώσει 50% επιπλέον στην περίπτωση που ανακαλυφθούν bugs που έχουν επιδιορθωθεί σε παλαιότερες εκδόσεις των λειτουργικών της συστημάτων, και επανεμφανίστηκαν κατά λάθος στον κώδικα της σε μεταγενέστερο στάδιο. Η εύρεση ευπαθειών που μπορούν να προκαλέσουν one-click ή zero-click επιθέσεις επιβραβεύονται επίσης με μεγάλα ποσά αλλά οι ερευνητές θα πρέπει να υποβάλλουν μία έκθεση περιγράφοντας την πλήρη αλυσίδα της επίθεσης για να διεκδικήσουν την αμοιβή τους.

TechRadar

View the full article

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...