Apple på torsdagen in sin första bug bounty program, för att starta i September.
Ivan Krstic, chef för Apple it-säkerhet och arkitektur, meddelade programmet under sin presentation på Black Hat-säkerhet-konferensen i Las Vegas.
Fokus är enligt uppgift på en ovanligt hög nivå på service och kvalitet och inte kvantitet.
Deltagande i program som inledningsvis kommer att vara av inbjudan, och den kommer att vara begränsad till en utvald grupp av forskare.
Men planerar Apple att arbeta tillsammans med andra forskare från fall till fall, och företaget enligt uppgift kommer att utöka program över tid.
Bug bounty programmet “visar hur viktigt det är att ha en community-baserad säkerhet jämfört med en exklusiv in-house säkerhet program”, konstaterade Chenxi Wang, som är chief strategy officer på
Twistlock.
“Till deras kredit [Apple] har gjort ett bra jobb med den kvalitet och säkerhet i sina program,” sade hon till TechNewsWorld”, men även Apple kan inte göra det ensam. De behöver den kollektiva hjärnan kraft av dataintrång samhället att hjälpa.”
Belöning Potential
Apple kommer att erbjuda dessa bonusar:
- Upp till US$200,000 för sårbarheter i boot firmware komponenter.
- Upp till $100 000 för brister att tillåta utvinning av konfidentiellt material från Säker Enklav-Processor;
- Upp till $50.000 för sårbarheter som tillåter exekvering av godtycklig kod med kärnan privilegier, eller de som gör det möjligt för obehöriga tillgång till iCloud kontoinformation på Apples servrar, och
- Upp till $25,000 för brister som gör det möjligt tillgång från en sandlåda process för att användardata utanför sandlådan.
Apple kan också belöna forskare som delar en exceptionell, kritisk sårbarhet utanför de fem kategorier som anges.
Rykte Reparation
“Med program som detta, finns det två strategier”, säger Rob Enderle, förste analytiker på Enderle Group. “Ett är att faktiskt hitta problem och åtgärda dem, det andra är att använda programmet för att skapa intryck av att du är säker genom att ge stora belöningar att göra saker som du tror kan faktiskt inte göra.”
Apple ‘ s bounty program “som verkar vara det senare fallet, vilket är anledningen till att [det är] både så restriktiva och har en sådan till synes stora nåd”, sa han till TechNewsWorld. “Detta visas mestadels inriktade på ångra den skada som FBI gjorde att Apples säkerhet rykte när de
bröt sig in i en iPhone för en tid sedan.”
IPhone tillhörde terrorist Syed Farook, som med sin fru genomfört en massa skytte i San Bernardino förra året.
Efter inlämning av en misslyckad rättegång för att få Apple att låsa upp enheten, FBI som betalas av en tredje part för att göra det.
Nyheter om dataintrång farhågor om säkerheten för Apple-enheter, eftersom “det visade sig att Apple kan ha brutit mot,”, sade Michael Jude, en program manager på Stratecast/Frost & Sullivan.
“Apple är nu i ett vapen i krig med regeringen”, sade han TechNewsWorld. “De behöver för att förbättra säkerhet snabbt och visa människor att de är att ta det på allvar. Genom att anlita oberoende, [Apple] kan … ge en ännu starkare incitament att arbeta inom dess gemenskap.”
Lossa Sitt Grepp
Apple “har varit relativt framgångsrika i att producera hårt kontrollerade plattformar och mjukvara, men som ekosystem växer och enhetens funktioner växa, även de kunde använda för att hjälpa,” sade Twistlock är Wang. “De väntade så länge på grund av deras behov av att kontrollera allt.”
Att behovet är baserad delvis på Apples protectiveness av sin immateriella egendom, över vilken den har kämpat flera strider i domstol.
“Apple är väldigt känsliga om sin IP, [och] jag förstår varför de är öppna [bounty program] för att välja några få,” sade Wang.
Apple-användare kommer att vara de slutliga mottagarna av bug bounty program, eftersom “deras information och data, och deras enheter, kommer att vara mer säker,” sade Enderle.
Hackare som hittar buggar i programmet kommer att vinna berömmelse och pengar, Frost Jude föreslås.
“För de flesta hackare, ryktbarhet är minst lika viktigt som pengar,” sade han. “Någon som kan säga att de ligger en bugg i programvaran från Apple kan ganska mycket, skriva sin egen biljett.”
Richard Adhikari har skrivit om high-tech för ledande publikationer i industrin sedan 1990-talet och undrar om det hela leder till. Kommer inopererade RFID-chip i människor vara Vilddjurets Märke? Kommer nanotekniken att lösa våra kommande livsmedelskris? Gör Sturgeons Lag håller fortfarande sant? Du kan ansluta med Richard på
Google+.