Apple обещает хакерам до $200 000 за «дыры» в своих продуктах

Из всех крупных технокомпаний Apple дольше всего отказывалась предлагать хакерам награду за поиск уязвимостей в своих продуктах. Хотя, к примеру, ФБР готово было заплатить $1 млн, чтобы взломать iPhone человека, устроившего стрельбу в Сан-Бернардино. Теперь же Apple объявляет корпоративную программу по поощрению поиска уязвимостей в своих продуктах, в рамках которой выплатит до $200 000 за найденные «дыры». Это одна из самых высоких наград за подобную деятельность.

О старте программы участникам хакерской конференции Black Hat объявил глава отдела по архитектуре безопасности компании Айвен Крстич. Это само по себе довольно необычно, поскольку представители компании уже четыре года не участвовали в Black Hat, а глобальные объявления, касающиеся безопасности, компания, как правило, приберегает для собственной конференции WWDC, уточняет TechCrunch. 

Программа запускается в сентябре и будет включать пять категорий наград:

• уязвимости в безопасности программ начальной загрузки: до $200 000;
• уязвимости, позволяющие получать доступ к конфиденциальным данным из Secure Enclave: $100 000;
• исполнение кода третьей стороны в ядре (with kernel privileges): до $50 000;
• доступ к данным аккаунта в iCloud на серверах Apple: до $50 000;
• доступ из процесса «в песочнице» к внешним пользовательским данным (Access from a sandboxed process to user data outside the sandbox): до $25 000.

Чтобы претендовать на награду, хакеры должны предоставить подтверждение работоспособности своего метода на новейшей версии iOS и «железа». В конечном итоге, компания будет определять сумму награды, базируясь на четкости отчета, на том, насколько нова найденная уязвимость, какой риск она представляет для пользовательских данных и т.д.

Apple также собирается поощрять благотворительность: если хакер решит отдать награду на эти цели, в компании обещают добавить к сумме еще столько же денег. Т.е. если он, к примеру, выиграл $200 000, размер пожертвования составит $400 000.

Напомним, группа исследователей из университета Южной Каролины, китайского университета Женжанга и компании из сферы безопасности Qihoo 360 нашла способ вызывать сбои в работе автопилота Tesla Model S.