Apple существенно обновила свою программу вознаграждений за обнаружение уязвимостей — Apple Security Bounty, которая действует с 2020 года. За это время компания уже выплатила более $35 млн более чем 800 исследователям в сфере безопасности. В среднем каждый из них получил примерно $43 750, но теперь ставки выросли — Apple готова платить значительно больше.
Новые правила Apple для охотников за багами
В своем блоге Apple описала главные изменения в программе вознаграждений. Если коротко подытожить, они сводятся к следующему:
- Удвоено максимальное вознаграждение — теперь до $2 млн можно получить за обнаружение цепей эксплойтов, которые могут достигать целей, подобных атакам шпионского ПО высокого уровня, используемого наемными хакерами.
- За обход режима Lockdown Mode и уязвимости в бета-версиях программного обеспечения предусмотрены дополнительные бонусы. Общая сумма вознаграждения в таких случаях может достигать до $5 млн.
- $100 тыс. долларов — за обнаружение полного обхода Gatekeeper, который позволяет вредоносному коду запускаться на macOS без срабатывания проверок безопасности.
- $1 млн — за нахождение способа получить широкий несанкционированный доступ к iCloud.
- В программу добавлена категория one-click WebKit sandbox escapes, то есть уязвимости, которые позволяют обойти защиту WebKit (движка Safari) лишь одним нажатием — за них обещают до $300 тыс.
- Еще $1 млн Apple заплатит за обнаружение эксплойтов беспроводной близости, независимо от того, какой именно радиомодуль используется.
Как эти изменения влияют на безопасность Apple
Программа вознаграждений существенно помогла компании укрепить свои системы. Среди заметных достижений:
- Режим Lockdown Mode, который минимизирует пути атаки — блокирует вложения, предварительный просмотр ссылок и веб-скрипты.
- Обновленная архитектура безопасности Safari, что затрудняет эксплуатацию ошибок в браузере.
- Memory Integrity Enforcement — аппаратная функция защиты от повреждения памяти, реализованная в новых чипах, в частности A19.
Apple отмечает, что после этих усовершенствований системные атаки на iOS остаются возможными только с помощью сверхсложного шпионского ПО, разработка которого стоит миллионы долларов. Такие атаки обычно нацелены только на ограниченный круг лиц.
Ранее Microsoft заявляла, что будет выплачивать до $20 тыс. за найденные ошибки в Defender.
Источник: wccftech
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: