Như được Apple hứa vào tháng 8 năm nay, công ty hôm nay cuối cùng đã mở chương trình tiền thưởng lỗi cho tất cả các nhà nghiên cứu bảo mật, cung cấp phần thưởng bằng tiền cho bất kỳ ai để báo cáo các lỗ hổng trong iOS, macOS, watchOS, tvOS, iPadOS và iCloud cho công ty.
Kể từ khi nó phóng ba năm trước, Chương trình tiền thưởng lỗi của Apple chỉ mở cho các nhà nghiên cứu bảo mật được chọn dựa trên lời mời và chỉ được thưởng khi báo cáo các lỗ hổng trong hệ điều hành di động iOS.
Tuy nhiên, phát biểu tại một hội nghị hack vào tháng 8 năm nay, Ivan Krstić, người đứng đầu Apple Security Engineering and Architecture tại Apple, công bố sắp tới của công ty chương trình tiền thưởng lỗi mở rộng Trong đó bao gồm ba điểm nổi bật chính:
- sự gia tăng lớn trong phần thưởng tối đa từ 200.000 đô la đến 1,5 triệu đô la,
- chấp nhận báo cáo lỗi cho tất cả các hệ điều hành và phần cứng mới nhất của nó,
- mở chương trình cho tất cả các nhà nghiên cứu.
Bắt đầu từ hôm nay, tất cả các nhà nghiên cứu bảo mật và tin tặc đều đủ điều kiện nhận khoản thanh toán tiền mặt để tìm và tiết lộ một cách có trách nhiệm lỗ hổng bảo mật hợp lệ trong “các phiên bản công khai mới nhất của iOS, iPadOS, macOS, tvOS hoặc watchOS với cấu hình tiêu chuẩn”. như đã được công bố đầu tiên bởi Krstić trên Twitter.
Ngay cả sau khi gửi lỗi bảo mật hợp lệ, các nhà nghiên cứu cần tuân theo một số quy tắc đủ điều kiện cơ bản để nhận phần thưởng, bao gồm báo cáo chi tiết trực tiếp cho nhóm bảo mật của Apple mà không tiết lộ bất cứ điều gì cho công chúng cho đến khi công ty phát hành bản vá và cung cấp báo cáo rõ ràng với một báo cáo rõ ràng. khai thác.
Như được hiển thị trong biểu đồ thanh toán tiền thưởng lỗi ở trên, 1 triệu đô la sẽ chỉ được trao cho những người gửi khai thác thực thi mã hạt nhân không thể nhấp chuột nghiêm trọng có thể cho phép kiểm soát hoàn toàn, liên tục thiết bị được nhắm mục tiêu.
Còn gì nữa không Ngoài phần thưởng tối đa là 1 triệu đô la, Apple cũng sẽ tặng 50% tiền thưởng cho những người tìm thấy và báo cáo các lỗ hổng trong phần mềm phát hành trước (phiên bản beta) trước khi phát hành công khai, đưa phần thưởng tối đa lên tới 1,5 triệu đô la.
Bên cạnh đó, Apple hiện cũng sẽ trả thêm 50% tiền thưởng cho số tiền thưởng đủ điều kiện để báo cáo lỗ hổng ‘hồi quy’ mà công ty đã vá trong các phiên bản trước của phần mềm, nhưng giới thiệu lại ‘nhầm lẫn’ trong phiên bản beta dành cho nhà phát triển hoặc beta công khai.
Chương trình Apple Security Bounty nhằm mục đích cũng khuyến khích các tin tặc, những người hoặc công khai Bảo vệ lỗ hổng họ đã phát hiện ra trong các sản phẩm của Apple hoặc bán nó cho các nhà cung cấp tư nhân như Zerodium, Cellebritevà Grayshift, người giao dịch trong khai thác không ngày.
