Apple, Apple запускает программу Баунти Баг на Black Hat USA 2016

У Apple наконец-то появилась программа баунти-багов.

Глава компании по проектированию и архитектуре безопасности Иван Крстич объявил о программе «Только по приглашению» во время редкого публичного выступления на конференции хакеров Black Hat USA 2016 в Лас-Вегасе в ночь на 4 августа.

Крстик, чья команда отвечает за комплексную безопасность всех продуктов Apple, заявил, что компания заплатит до 200 000 долларов за ошибки, выявленные во время его презентации в четверг под названием «За кулисами безопасности iOS».

Компенсация зависит от взлома: доступ к данным изолированного приложения стоит до 25 000 долларов, в то время как компрометация компонентов микропрограммы безопасной загрузки может принести максимум 200 000 долларов.

Вознаграждение хакеров за раскрытие уязвимостей безопасности вместо того, чтобы тайно их эксплуатировать, становится все более распространенным явлением - это делают все, от Убера до Пентагона.

Переход Apple от полагаться на добрую волю исследователей к предложению вознаграждения за раскрытие ошибок, вероятно, мотивирован взломом iPhone 5c, связанного со стрельбой в Сан-Бернардино в 2015 году. Общественность мало знает о взломе и о том, можно ли его использовать для взлома в iPhone.

Участник Black Hat Роберт Маккарти написал в Твиттере:

Аудитория: «Насколько проблема ФБР повлияла на вашу позицию?»

Иван Крстич: «Я здесь инженер, чтобы отвечать на технические вопросы»

Даже ФБР, которое заплатило неизвестному третьему лицу за взлом iPhone, когда Apple отказалась помочь в этом деле, не знает, как устройство было взломано. Возможно, он даже не знает, сколько на самом деле стоит взлом, поскольку утверждение директора ФБР Джеймса Коми о том, что оно стоит около 1,3 миллиона долларов, было опровергнуто последующими сообщениями, в которых утверждалось, что на самом деле это стоило менее 1 миллиона долларов.

Эта двусмысленность вызывает еще большее беспокойство, потому что ФБР ничего не нашло на устройстве. Это означает, что одно из ведущих правоохранительных органов мира передало неизвестную компанию неизвестному количеству денег для выполнения неизвестного взлома - таким образом, доказав, что это возможно, и что каждый, у кого есть iPhone 5c, находится в опасности - не получая ничего взамен.

Программа защиты от ошибок может позволить Apple устранить некоторые из этих переменных и сделать свои продукты более безопасными. И все же странно, что программа начнется с нескольких десятков исследователей и будет расширяться только по приглашению. Смысл программы вознаграждения за ошибки обычно заключается в том, чтобы как можно больше людей изучали различные функции безопасности, чтобы увидеть, что они могут обойти.

Apple, как сообщается, планирует пригласить в программу больше людей со временем и «пригласить» любого, кто сообщит о серьезной уязвимости через другие каналы, но на данный момент кажется, что Apple просто погружает свои пальцы в пул вознаграждений за ошибки. Это характерно для компании, которая часто осторожна, но, вероятно, будет разочаровывать любого, кто хотел бы побороться за вознаграждение как можно скорее.

Тем не менее, это безошибочный прогресс для Apple. Так появился Крстик на таком мероприятии, как Black Hat USA. В сочетании с другими изменениями, такими как решение не шифровать ядро ​​iOS 10, кажется, что наследием эпизода в Сан-Бернардино может быть Apple, которая готова выйти из тени, чтобы она могла держать многих людей, которые используют ее продукты, немного более безопасными,