Apple ponuja milijon dolarjev za odkrite ranljivosti
Matej Huš
10. avg 2019 ob 11:38:04
Apple je na konferenci Black Hat naznanil korenito spremembo svojega programa za nagrajevanje odkriti ranljivosti (bug bounty), s čimer želi vzpodbuditi raziskovalce, da bi najdene luknje raje delili z Applom kot s preprodajalci. Slednji namreč ponujajo bistveno višje zneske kakor proizvajalci. Zato bo odslej Apple bolj razvezal mošnjiček, je povedal vodja varnosti in arhitekture pri Applu Ivan Krstić.
Najvišja nagrada po novem znaša okrogel milijon dolarjev, kolikor Apple ponuja za odkritje načina, kako oddaljeno in brez uporabnikove interakcije pridobiti popolni in trajni nadzor nad iOS. Dostop do osebnih podatkov brez interakcije prinese pol milijona dolarjev, številne druge ranljivosti pa od 100.000 do 250.000. Hkrati Apple ponuja še 50-odstotni bonus za odkrite ranljivosti v neizdanih verzijah (pre-release build). Po novem je program odprt vsakomur, ne le povabljenim, prav tako pa se širi na iPhone, macOS in druge Applove sisteme.
Še večja sprememba pa je razdelitev iPhonov s pohabljenim varnostnim sistemom, ki jih bodo dobili zaupanja vredni raziskovalci. Da bi bil sistem še bolje zaščiten, bodo nekateri raziskovalci dobili naprave z odstranjenimi zunanjimi plastmi zaščite, da bodo lahko preverili varnost notranjih delov. Te bodo razdelili v začetku prihodnjega leta in bodo imeli root dostop, razhroščevalnik in druge dodatke.
Apple je tako v zadnjih letih naredil korenito spremembo. Še pred štirimi leti, ko so bili programi bug bounty že popularni, ni želel niti slišati o nagrajevanju, danes pa ponuja najvišje nagrade. Od leta 2016 je bilo prijavljenih okrog 50 hudih ranljivosti. Krstić pojasnjuje, da bodo z novostmi poskrbeli, da bodo njihovi izdelki še varnejši. Zanimivo bo videti, kako se bodo na novosti odzvali trgovci z ranljivostmi na sivem trgu.