Apple ievieš paplašinātu kļūdu novēršanas programmu, kas aptver macOS, tvOS, watchOS un iCloud, kā arī iOS ierīces, šopēcpusdien Black Hat konferencē Lasvegasā paziņoja Apple drošības inženierijas vadītājs Ivans Krstičs.
Apple 2016. gada augustā ieviesa savu kļūdu novēršanas programmu iOS ierīcēm, ļaujot drošības pētniekiem, kuri atklāj kļūdas operētājsistēmā iOS, saņemt naudas izmaksu par ievainojamības atklāšanu Apple. Līdz šim ierīces, kas nav iOS, netika iekļautas, un drošības kopiena iepriekš to kritizēja.
Apple trūkums par macOS kļūdu atlīdzināšanas programmu kļuva par virsrakstiem šī gada sākumā, kad kāds vācu pusaudzis sākotnēji atteicās nodot detalizētu informāciju par būtisku macOS Keychain drošības trūkumu, jo Apple nebija izmaksājis. Lai gan viņš galu galā sniedza informāciju Apple, viņš sacīja, ka cer, ka viņa atteikums iedvesmos Apple paplašināt savu kļūdu novēršanas programmu, ko uzņēmums patiešām ir izdarījis.
Līdz ar jaunās macOS kļūdu atlīdzības programmas palaišanu, Apple vēlāk šogad visiem pētniekiem atklāj savu kļūdu atlīdzības un palielina maksimālo atlīdzības lielumu no 200 000 USD par vienu ekspluatāciju līdz 1 miljonam USD atkarībā no drošības nepilnības veida. Nulles klikšķa kodola koda izpilde ar neatlaidību nopelnīs maksimālo summu.
Pētnieki, kuri atklāj pirmsizlaides programmatūras ievainojamības pirms vispārējās izlaišanas, var pretendēt uz līdz pat 50 procentu bonusa izmaksu papildus pamata kļūdu piemaksas summai.
Kā ziņots šīs nedēļas sākumā , Apple arī plāno nodrošināt pārbaudītus un uzticamus drošības pētniekus un hakerus ar “dev” iPhone jeb īpašiem iPhone tālruņiem, kas nodrošina dziļāku piekļuvi pamatā esošajai programmatūrai un operētājsistēmai, kas atvieglos ievainojamību atklāšanu.
Apple nodrošina šos iPhone tālruņus kā daļu no savas jaunās iOS drošības izpētes ierīču programmas, kas tiks uzsākta nākamajā gadā. Apple mērķis ar šiem jaunajiem kļūdu novēršanas centieniem ir mudināt papildu drošības pētniekus atklāt ievainojamības, kas galu galā noved pie drošākas ierīces patērētājiem.
(Paldies, SecuritySteve!)
Populārākas Posts