Beadta a derekát az Apple
Az Apple hosszú dilemmázás után úgy határozott, hogy elindítja saját jutalmazási programját az etikus hackerek számára. Ugyanakkor a vállalat még mindig nagyon óvatos.Az Apple az amerikai Black Hat konferencián jelentette be a biztonsági szakértőkből álló közönség előtt, hogy - sok más vállalathoz hasonlóan - lehetőséget ad arra, hogy az etikus hackerek pénzjutalomért cserébe jelezzenek különféle sérülékenységeket. Ilyen kezdeményezést korábban már számos nagy IT vállalat indított, beleértve a Google-t, a Facebookot és a Microsoftot is. Mivel ezek mindegyike sikeresnek ítélte meg a jutalom fejében történő hibavadászatot, ezért csak idő kérdése volt, hogy az Apple is beadja a derekát.
Csak óvatosan!
Az Apple a többi piaci szereplőtől eltérően azért rögtön nem ugrott fejest a mélyvízbe, ugyanis a jutalmazási programját nem tette mindenki számára elérhetővé. A bejelentés szerint első körben csak olyan szakemberek csatlakozhatnak a kezdeményezéshez, akik korábban már jeleztek súlyos sérülékenységeket a vállalat számára. Vagyis a jutalmazási program egyelőre meghívásos alapon működik. Ugyanakkor az Apple hangsúlyozta, hogy ez nem jelenti azt, hogy a többi biztonsági kutatónak hanyagolnia kell a sebezhetőségek feltárását, hiszen ha valaki kritikus hibára akad egy Apple termékben vagy szolgáltatásban, akkor azt jelezheti, és akár be is választhatják a programba.
A díjak
Az Apple a jutalom mértékét a célkeresztbe állítható termékek és szolgáltatások, valamint a feltárt sérülékenység veszélyessége alapján határozza meg. A legtöbbet, 200 ezer dollárt olyan biztonsági résért lehet kapni, amely a secure boot kapcsán merül fel. 100 ezer dollárt érnek a Secure Enclave sebezhetőségei, míg 50 ezer dollár ütheti annak a markát, aki kernel szintű kódfuttatásra lehetőséget adó sebezhetőséget fedez fel, vagy olyan hibára akad, amely iCloud fiókokhoz történő jogosulatlan hozzáférésre ad módot. Mindebből az is következik, hogy a jutalmazási program jelenleg elsősorban az iOS, illetve az iCloud köré összpontosul. A pénzdíjak csak abban az esetben járnak, ha a kutatók részletes leírást készítenek a feltárt sebezhetőségekről, és az azok kihasználásához szükséges exploit kódokat is elkészítik.
A felajánlott pénzjutalom összege első ránézésre vonzónak tűnik, és minden bizonnyal számos meghívott kutató elégedett lesz. Ugyanakkor minden csak viszonyítás kérdése, hiszen állítólag az FBI a San Bernardino-i lövöldözés kapcsán lefoglalt iPhone feltörésekor használt módszerért és exploit kódért egymillió dollárt fizetett ki. Tavaly pedig a Zerodium ajánlott egymillió dollárt olyan exploit kódért, amellyel távoli iOS jailbreak valósítható meg a legújabb iOS verzió esetében is. Azóta ezt az összeget 500 ezer dollárra csökkentette a cég, ami még mindig szép summa.
-
A Cico az IP telefonjaihoz három hibát javító frissítést tett közzé.
-
Az ArobaOS-hez fontos biztonsgi frissítés érkezett.
-
A Google egy veszélyes biztonsági rést foltozott be a ChromeOS-en.
-
A Google két veszélyes hibát orvosolt Chrome böngészőben.
-
A SonicWall két sebezhetőséget javított a GMS kapcsán.
-
A Citrix a virtualizációs megoldásaihoz fontos frissítéseket tett közzé.
-
A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.
-
A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.
-
A TinyMCE kapcsán XSS-hibákra derült fény.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.