Из всех крупных технокомпаний Apple дольше всего отказывалась предлагать хакерам награду за поиск уязвимостей в своих продуктах. Хотя, к примеру, ФБР готово было заплатить $1 млн, чтобы взломать iPhone человека, устроившего стрельбу в Сан-Бернардино. Теперь же Apple объявляет корпоративную программу по поощрению поиска уязвимостей в своих продуктах, в рамках которой выплатит до $200 000 за найденные “дыры”. Это одна из самых высоких наград за подобную деятельность.
О старте программы участникам хакерской конференции Black Hat объявил глава отдела по архитектуре безопасности компании Айвен Крстич. Это само по себе довольно необычно, поскольку представители компании уже четыре года не участвовали в Black Hat, а глобальные объявления, касающиеся безопасности, компания, как правило, приберегает для собственной конференции WWDC, уточняет TechCrunch.
Программа запускается в сентябре и будет включать пять категорий наград:
- уязвимости в безопасности программ начальной загрузки: до $200 000;
- уязвимости, позволяющие получать доступ к конфиденциальным данным из Secure Enclave: $100 000;
- исполнение кода третьей стороны в ядре (with kernel privileges): до $50 000;
- доступ к данным аккаунта в iCloud на серверах Apple: до $50 000;
- доступ из процесса “в песочнице” к внешним пользовательским данным (Access from a sandboxed process to user data outside the sandbox): до $25 000.
Чтобы претендовать на награду, хакеры должны предоставить подтверждение работоспособности своего метода на новейшей версии iOS и “железа”. В конечном итоге, компания будет определять сумму награды, базируясь на четкости отчета, на том, насколько нова найденная уязвимость, какой риск она представляет для пользовательских данных и т.д.
Apple также собирается поощрять благотворительность: если хакер решит отдать награду на эти цели, в компании обещают добавить к сумме еще столько же денег. Т.е. если он, к примеру, выиграл $200 000, размер пожертвования составит $400 000.
Напомним, группа исследователей из университета Южной Каролины, китайского университета Женжанга и компании из сферы безопасности Qihoo 360 нашла способ вызывать сбои в работе автопилота Tesla Model S.