Apple på torsdag introducerede sin første bug bounty program, indstillet til start i September.
Ivan Krstic, leder af Apple sikkerhed, teknik og arkitektur, annoncerede program under hans præsentation på Black Hat konference i Las Vegas.
Fokus efter sigende er på et usædvanligt højt niveau af service, og på kvalitet frem for kvantitet.
Deltagelse i programmet i første omgang vil være en invitation, og det vil være begrænset til en udvalgt gruppe af forskere.
Men Apple har planer om at arbejde sammen med andre forskere på en case-by-case basis, og selskabet vil efter sigende udvide programmet over tid.
Den bug bounty program “betyder, hvor vigtigt det er at have et community-baseret sikkerhed versus en eksklusiv in-house sikkerhed program,” bemærkede Chenxi Wang, chief strategy officer i
Twistlock.
“At deres kredit – [Apple] har gjort et stort stykke arbejde i kvalitet og sikkerhed af deres software,” fortalte hun TechNewsWorld, “men selv Apple kan ikke gøre det alene. De har brug for den kollektive hjerne magt hacking samfund til at hjælpe.”
Belønning Potentiale
Apple vil tilbyde disse præmier:
- Op til US$200.000 for sårbarheder i boot-firmware komponenter;
- Op til $100.000 for fejl at tillade udvinding af fortroligt materiale fra Sikker Enklave Processor;
- Op til $50.000 for sårbarheder tillade udførelse af vilkårlig kode med opsætning af privilegier, eller dem, der giver uautoriseret adgang til iCloud konto data på Apple-servere; og
- Op til $25.000 for fejl, der giver adgang fra en sandboxed proces til brugerens data uden at sandkasse.
Apple kan også belønne forskere, der deler en usædvanlig, kritisk sårbarhed uden for de fem kategorier, der er anført.
Ry Reparation
“Med programmer som dette, er der to tilgange,” siger Rob Enderle, ledende analytiker hos Enderle Group. “Den ene er til rent faktisk at finde problemer og løse dem; den anden er at bruge programmet til at skabe det indtryk, at du sikre ved at give store dusører til at gøre ting, du mener kan faktisk ikke gøres.”
Apple ‘ s bounty program “synes at være det sidste er tilfældet, hvilket er grunden til, [det er] både så restriktive, og har tilsyneladende store dusører,” fortalte han TechNewsWorld. “Dette synes for det meste rettet mod at løsne skader FBI gjorde, at Apple’ s sikkerhed, omdømme, når de
brød ind i en iPhone for noget tid siden.”
IPhone tilhørte terrorist Syed Farook, der sammen med sin hustru foretog en masse skydning i San Bernardino sidste år.
Efter indgivelse af en mislykkede retssag for at få Apple til at låse enheden, FBI betalt en tredje part til at gøre det.
Nyheder om hacking rejst bekymringer om sikkerheden af Apple-enheder, fordi “det viste sig, at Apple kan blive krænket,” sagde Michael Jude, et program manager på Stratecast/Frost & Sullivan.
“Apple er nu et våben i krig med regeringen,” fortalte han TechNewsWorld. “De har brug for at forbedre sikkerhed og hurtigt at vise folk, at de tager det alvorligt. Ved at engagere sig uafhængige, [Apple] kan … give en endnu stærkere incitament til at arbejde inden for sit samfund.”
At Løsne Sit Greb
Apple “har haft rimelig succes med at producere stramt kontrolleret platforme og software, men, som deres økosystem vokser og enhedens kapaciteter vokse, selv de kunne bruge hjælp,” sagde Twistlock er Wang. “De har ventet så længe på grund af deres behov for at kontrollere alt.”
At behovet er delvis baseret på Apple ‘ s protectiveness af sine intellektuelle ejendom, over hvilken det har udkæmpet flere slag i retten.
“Apples meget følsomme omkring deres IP, [og] jeg forstår, hvorfor de er en åbning [bounty program] for at få,” sagde Wang.
Apple-brugere vil være de endelige modtagere af de bug bounty program, fordi “deres oplysninger og data, og deres enheder, vil være mere sikker,” sagde Enderle.
Hackere, der opdager fejl i henhold til programmet vil vinde berømmelse og penge, Frost ‘ s Jude foreslået.
“For de fleste hackere, berømmelse er mindst lige så vigtigt som penge,” sagde han. “Der er nogen, der kan sige, at de ligger en fejl i Apple-software kan stort set skrive deres egen billet.”
Richard Adhikari har skrevet om high-tech for branchens førende publikationer siden 1990’erne, og vidundere, hvor det hele fører til. Vil implanteret RFID-chips i mennesker være Dyrets Mærke? Vil nanotech løse vores kommende fødevarekrise? Gør Stør ‘ s Lov, der stadig holder stik? Du kan forbinde med Richard på
Google+.