Apple משיקה Bug Bounty תוכנית ב Black Hat ארה"ב 2016

סוף סוף אפל יש באג באונטי התוכנית.

ראש מחלקת הנדסת האבטחה והאדריכלות של החברה, איוון קרסטיץ '(Ivan Krstic), הכריז על תוכנית ההזמנות בלבד במהלך הופעה ציבורית נדירה בכנס האמקר של Black Hat 2016 בלאס וגאס בליל 4 באוגוסט.

Krstic, שצוותו אחראי על אבטחה מקצה לקצה של כל מוצרי אפל, אמר כי החברה תשלם עד 200,000 $ עבור באגים שזוהו במהלך המצגת שלו ביום חמישי בשם "מאחורי הקלעים של אבטחה iOS."

פיצוי תלוי גרזן: גישה נתונים יישום sandboxed שווה עד $ 25,000 תוך התפשרות מאובטח קושחה רכיבי קושחה יכול נטו 200,000 $ מקסימום.

התגמול האקרים על חשיפת פגיעויות אבטחה במקום לנצל אותם בחשאי הפך נפוץ יותר ויותר - כולם מן Uber לפנטגון עושה זאת.

המעבר של אפל מהסתמכות על רצון טוב של חוקרים להציע פרס על גילויי באגים הוא כנראה מונע על ידי גרזן של iPhone 5c מחובר ירי סן ברנרדינו של 2015. הציבור יודע מעט על גרזן ואם זה עדיין יכול לשמש לשבור לתוך iPhone.

Black Hat משתתף רוברט מקארתי Tweeted:

קהל: "עד כמה הבעיה של ה- FBI השפיעה על עמדתך?"

איוון קרסטיץ ' "אני מהנדס כאן כדי לענות על שאלות טכניות"

אפילו ה- FBI, ששילם צד שלישי לא ידוע עדיין לפרוץ את iPhone כאשר אפל סירבה לסייע במקרה, לא יודע איך המכשיר היה בסכנה. זה אולי אפילו לא יודע כמה גרזן באמת עלות, כמו מנהל ה- FBI טענה של ג'יימס קומי כי זה עולה בסביבות 1.3 מיליון דולר הופרכה על ידי דיווחים מאוחר יותר, אשר טען שזה באמת עלות פחות מ 1 מיליון דולר.

זה עמימות הוא אפילו יותר לגבי כי ה- FBI לא מצא שום דבר על המכשיר. משמעות הדבר היא שאחת מסוכנויות אכיפת החוק החשובות ביותר בעולם העניקה סכום לא ידוע לחברה לא מוכרת לבצע גרזן לא ידוע, ובכך הוכיחה שניתן לעשות זאת וכי כל אחד עם iPhone 5C נמצא בסיכון - מבלי לקבל שום דבר בתמורה.

תוכנית באגים bug יכול לאפשר אפל לחסל כמה משתנים אלה ולהפוך את מוצריה מאובטחת יותר. עם זאת, זה מוזר כי התוכנית תתחיל עם כמה עשרות חוקרים ולהרחיב בהזמנה בלבד. הנקודה של תוכנית באגים באגים הוא בדרך כלל להגיע כמו אנשים רבים ככל האפשר כדי לדחוף סביב תכונות אבטחה שונות כדי לראות מה הם מסוגלים לעקוף.

אפל מתכננת להזמין עוד אנשים לתוכנית עם הזמן, וכדי "להזמין" את כל מי שמדווח על פגיעות רצינית דרך ערוצים אחרים, אך לעת עתה נראה כי אפל פשוט טבילה את בהונותיה לבריכת השפע. זה אופייני של החברה, אשר לעתים קרובות זהיר, אבל סביר להניח להיות מייאש עבור מי שרצה להתחרות על התגמולים בהקדם האפשרי.

עם זאת, זוהי התקדמות בלתי נמנעת עבור אפל. אז היה Krstic להופיע באירוע כמו Black Hat ארה"ב מלכתחילה. בשילוב עם שינויים אחרים, כמו ההחלטה לא להצפין את הקרנל של iOS 10, נראה כי מורשת הפרק של סן ברנרדינו יכול להיות Apple זה מוכן לצאת מן הצללים, כך שהוא יכול לשמור על אנשים רבים המשתמשים במוצרים שלה קצת יותר בטוח.