ΑρχικήinetH Apple ανακοινώνει τους κανόνες του προγράμματος bug bounty της

H Apple ανακοινώνει τους κανόνες του προγράμματος bug bounty της

bug bounty

Πιστή στην ανακοίνωση που είχε κάνει τον περασμένο Αύγουστο στο συνέδριο ασφαλείας Black Hat στο Λας Βέγκας, η Apple ξεκίνησε επισήμως το πρόγραμμα bug bounty της την Παρασκευή, για όλους τους ερευνητές.

Μέχρι σήμερα, η εταιρεία διεξήγαγε προγράμματα bug bounty μόνο για επιλεγμένους ερευνητές και δεχόταν μόνο σφάλματα ασφαλείας για iOS.

Με το νέο της πρόγραμμα, η Apple θα δέχεται αναφορές ευπαθειών για ένα πολύ ευρύτερο φάσμα προϊόντων στα οποία θα περιλαμβάνονται iPadOS, macOS, tvOS, watchOS και iCloud.

Επιπλέον, η εταιρεία έχει αυξήσει και τη μέγιστη ανταμοιβή, από $ 200.000 σε $ 1.500.000, ανάλογα με την πολυπλοκότητα και τη σοβαρότητα της αλυσίδας ευπαθειών.

Μαζί με την επίσημη ανακοίνωση για το νέο της πρόγραμμα, η Apple δημοσίευσε επίσης μια νέα σελίδα στον ιστότοπό της, η οποία περιγράφει λεπτομερώς τους κανόνες του προγράμματος bug bounty για τα κυριότερα bugs, καθώς και μια κατανομή των ανταμοιβών που θα δίνονται στους ερευνητές ανάλογα με τα ευρήματά τους.

Πρόκειται για αρκετά αυστηρούς κανόνες, οι οποίοι θέτουν ψηλά τον πήχη για όσους θέλουν να κερδίσουν τις κορυφαίες ανταμοιβές. Για να είναι ένας ερευνητής επιλέξιμος για τα κορυφαία βραβεία και μπόνους, πρέπει να υποβάλει σαφείς αναφορές. Αυτές περιλαμβάνουν:

  • Λεπτομερή περιγραφή των προβλημάτων που ανακαλύφθηκαν.
  • Οποιεσδήποτε προϋποθέσεις και βήματα μπορούν να έχουν επιπτώσεις στο σύστημα.
  • Ένα αξιόπιστο εύρημα για την ανακάλυψη που αναφέρει.
  • Αρκετές πληροφορίες ώστε η Apple να μπορεί να αναπαράγει το πρόβλημα.

Τα σφάλματα ασφαλείας που είναι καινοτόμα, επηρεάζουν πολλαπλές πλατφόρμες, δουλεύουν με το πιο πρόσφατο υλικό και λογισμικό και επηρεάζουν ευαίσθητα στοιχεία του συστήματος θα δώσουν σε έναν ερευνητή μεγαλύτερες πιθανότητες να κερδίσουν την κορυφαία ανταμοιβή των 1,5 εκατομμυρίων δολαρίων.

Ακόμα, οι ευπάθειες που θα εντοπίζονται σε εκδόσεις beta θα ανταμείβονται εξίσου καλά. Η Apple αναφέρει ότι θα προσθέσει ένα μπόνους 50% πάνω από την αναφερθείσα πληρωμή, για οποιοδήποτε σφάλμα ανακαλύπτεται σε μια beta έκδοση.

Ο λόγος για τον οποίο τα σφάλματα στις εκδόσεις beta δίνουν υψηλές αμοιβές  είναι επειδή αυτές οι αναφορές σφαλμάτων επιτρέπουν στην Apple να διορθώσει σημαντικά ελαττώματα ασφαλείας πριν φθάσουν σε εκδόσεις παραγωγής του λογισμικού της, όπου θα επηρεάσουν δισεκατομμύρια συσκευές.

Το πρόγραμμα bug bounty της Apple θα δίνει επίσης ένα μπόνους 50% για σφάλματα παλινδρόμησης. Αυτά είναι σφάλματα που η Apple είχε προηγουμένως επιδιορθώσει σε παλαιότερες εκδόσεις του λογισμικού της, αλλά έχουν επανεισαχθεί στον κώδικα σε μεταγενέστερο στάδιο.

Οι ευπάθειες που επιτρέπουν επιθέσεις χωρίς να απαιτείται κλικ ή με ένα μόνο κλικ είναι εκείνες που θα φέρουν τα περισσότερα χρήματα στους ερευνητές. Ωστόσο, η Apple απαιτεί την πλήρη αλυσίδα εκμετάλλευσης για αυτούς τους τύπους σφαλμάτων.

Εάν για παράδειγμα μία από αυτές τις επιθέσεις, χρησιμοποιεί τρία διαφορετικά σφάλματα συνδεδεμένα μεταξύ τους, ο ερευνητής θα πρέπει να υποβάλει την πλήρη αλυσίδα εκμετάλλευσης που ενσωματώνει και τα τρία σφάλματα και όχι μόνο ένα, αν θέλει να κερδίσει τη μέγιστη ανταμοιβή.

Για περισσότερες λεπτομέρειες σχετικά με το νέο πρόγραμμα bug bounty της Apple, επισκεφθείτε το επίσημο site της εταιρείας.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS