Végre az Apple is fizet a biztonsági résekért
Jobb későn mint soha: az Apple is elindítja saját bug bounty programját, igaz egyelőre csak meghívásos alapon. A kezdeményezéssel a vállalat az iOS, illetve mobileszközei biztonságát igyekszik tovább erősíteni.
Komoly lemaradást próbál behozni az Apple, a cupertinói vállalat végre maga is bug bounty programot indít, bár egyelőre csak meghívásos alapon. A program, melynek keretei között a vállalat jutalmat oszt az iOS platformján, illetve készülékeiben talált biztonsági rések felfedezőinek, a tech-óriások körében mára alapvetőnek számít, az Apple ugyanakkor eddig makacsul elzárkózott a veszélyes bugok bejelentőinek megjutalmazása elől. Ez hosszú távon nem a legkifizetődőbb hozzáállás, ugyanis ha a vállalat nem is, az FBI és más igazságszolgáltatási szervek, illetve a különböző online bűnszervezetek szívesen fizetnek busás összegeket egy-egy sok felhasználót érintő sebezhetőségért.
A bug bounty programok során lényegében őket kell a cégeknek felüllicitálni, ez pedig jellemzően nem könnyű feladat, a TechCrunch szerint volt olyan biztonsági rés, amelyért az FBI közel egymillió dollárt perkált ki. Az Apple eddig épp erre hivatkozva zárkózott el a jutalomosztástól, mondván a fenti szervezetek úgyis mindig többet kínálnak, mint az érintett vállalat. A cég szerencsére most változtatott álláspontján és belátta, hogy igenis van értelme a hasonló programoknak és legalább az esélyét megadja, hogy a hibák felfedezői beérjék az általa felajánlott összeggel. Erre egyébként komoly esély van, a Google például tavaly összesen kétmillió dollárt osztott ki a hibák megtalálói között.
Igaz a fentebb említett, egymilliós rekordot nem dönti meg, azért az Apple sem aprópénzzel dobálózik: a komolyabb biztonsági résekért a frissen indított program keretei között akár 200 000 dollárt is kifizet. A régóta várt kezdeményezését a vállalat biztonsági vezetője, Ivan Krstic a Black Hat biztonsági konferencián jelentette be, ahol az Apple mintegy négy év után először képviseltette magát. A vállalat szerint rendszereinek fejlődésével saját biztonsági csapatának egyre nehezebb feladatot jelent az esetleges hibák gyors felfedezése, ezért ideje a cégen kívüli kutatóközösséggel bővíteni az erőforrásokat.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A díjazott sérülékenységek első kategóriáját a különböző sandbox környezetekből való kijutást, illetve a felhasználói adatokhoz való hozzáférést engedő bugok jelentik, ezekért a cég akár 25 ezer dollárt is fizethet. Ha valakinek sikerül illetéktelenül hozzáférni az Apple szerverein az iCloudban tárolt adatokhoz, netán kernelszintű jogosultságokkal rosszindulatú kódot futtatni a cég eszközein, az már 50 ezer dollárt is kaphat. A vállalat készülékein az ujjlenyomat-adatokat tartalmazó Secure Enclav-be való bejutás már 100 ezer dollárt is megérhet az Apple-nek, a legnagyobb, 200 ezres díjat pedig a secure boot firmware komponensekben található hibákért lehet besöpörni.
A szeptemberben rajtoló kezdeményezés komoly előrelépés a cég részéről, az ugyanakkor még mindig nem teljesen nyílt, az érdeklődők meghívásos alapon vehetnek részt az Apple bug bountyjában. A vállalat az első információk szerint csak olyan biztonsági szakértőket válogat be a programba, akik a múltban már valamilyen hasznos felfedezéssel hozzájárultak platformjának biztonságosabbá tételéhez. A gyártó több, saját bug bounty programját már évek óta folytató céggel egyeztetett, végül pedig azért döntött a meghívásos rendszer mellett, mert egy teljesen nyílt megoldás túl sok, adott esetben hasznavehetetlen jelentést hozna, amelyek közül nehezebb lenne kiszűrni a valóban fontosakat.