Apple News

Pinapataas ng Apple ang Mga Bug Bounty Payout, Pinalawak ang Access sa Lahat ng Mananaliksik at Inilunsad ang macOS Program

Huwebes Agosto 8, 2019 2:21 pm PDT ni Juli Clover

Ang Apple ay nagpapakilala ng pinalawak na bug bounty program na sumasaklaw sa macOS, tvOS, watchOS, at iCloud pati na rin sa mga iOS device, inihayag ngayong hapon ng pinuno ng security engineering ng Apple na si Ivan Krstić sa kumperensya ng Black Hat sa Las Vegas.





Ipinakilala ng Apple ang bug bounty program nito para sa mga iOS device noong Agosto ng 2016, na nagpapahintulot sa mga mananaliksik ng seguridad na naghahanap ng mga bug sa iOS na makatanggap ng cash payout para sa pagsisiwalat ng kahinaan sa Apple. Bago ngayon, hindi kasama ang mga device na hindi iOS, isang hakbang na dati nang pinuna ng komunidad ng seguridad.

applebugbountypayouts
Ang kakulangan ng Apple ng macOS bug bounty program ay naging mga headline sa unang bahagi ng taong ito nang tumanggi ang isang German teenager na ibigay ang mga detalye ng isang malaking depekto sa seguridad ng macOS Keychain dahil walang payout ang Apple. Bagama't sa huli ay ibinigay niya ang impormasyon sa Apple, sinabi niya na umaasa siyang ang kanyang pagtanggi ay magbibigay inspirasyon sa Apple na palawakin ang bug bounty program nito, na talagang ginawa ng kumpanya.



Sa paglulunsad ng bagong macOS bug bounty program, binubuksan ng Apple ang mga bug bounty nito hanggang sa lahat ng mga mananaliksik sa huling bahagi ng taong ito at tinataasan nito ang maximum na laki ng bounty mula $200,000 bawat pagsasamantala hanggang $1 milyon depende sa likas na katangian ng kakulangan sa seguridad. Ang isang zero-click na kernel code execution na may pagpupursige ay makakakuha ng maximum na halaga.

Ang mga mananaliksik na nakatuklas ng mga kahinaan sa pre-release na software bago ang pangkalahatang pagpapalabas ay maaaring maging kwalipikado para sa hanggang 50 porsiyentong bonus payout sa itaas ng base bug bounty na halaga.

Tulad ng iniulat mas maaga nitong linggo , plano rin ng Apple na magbigay ng mga na-verify at pinagkakatiwalaang mananaliksik at hacker ng seguridad ng 'dev' na mga iPhone, aka mga espesyal na iPhone na nagbibigay ng mas malalim na access sa pinagbabatayan na software at operating system na magpapadali para sa mga kahinaan na matuklasan.

appleresearchdeviceprogram
Ibinibigay ng Apple ang mga iPhone na ito bilang bahagi ng bago nitong iOS Security Research Device Program, na ilulunsad sa susunod na taon. Ang layunin ng Apple sa mga bagong pagsusumikap sa bug bounty na ito ay hikayatin ang mga karagdagang mananaliksik sa seguridad na ibunyag ang mga kahinaan, na humahantong sa mas secure na mga device para sa mga consumer.

(Salamat, SecuritySteve!)