Beadta a derekát az Apple

Az Apple hosszú dilemmázás után úgy határozott, hogy elindítja saját jutalmazási programját az etikus hackerek számára. Ugyanakkor a vállalat még mindig nagyon óvatos.
 

Az Apple az amerikai Black Hat konferencián jelentette be a biztonsági szakértőkből álló közönség előtt, hogy - sok más vállalathoz hasonlóan - lehetőséget ad arra, hogy az etikus hackerek pénzjutalomért cserébe jelezzenek különféle sérülékenységeket. Ilyen kezdeményezést korábban már számos nagy IT vállalat indított, beleértve a Google-t, a Facebookot és a Microsoftot is. Mivel ezek mindegyike sikeresnek ítélte meg a jutalom fejében történő hibavadászatot, ezért csak idő kérdése volt, hogy az Apple is beadja a derekát. 

Csak óvatosan!

Az Apple a többi piaci szereplőtől eltérően azért rögtön nem ugrott fejest a mélyvízbe, ugyanis a jutalmazási programját nem tette mindenki számára elérhetővé. A bejelentés szerint első körben csak olyan szakemberek csatlakozhatnak a kezdeményezéshez, akik korábban már jeleztek súlyos sérülékenységeket a vállalat számára. Vagyis a jutalmazási program egyelőre meghívásos alapon működik. Ugyanakkor az Apple hangsúlyozta, hogy ez nem jelenti azt, hogy a többi biztonsági kutatónak hanyagolnia kell a sebezhetőségek feltárását, hiszen ha valaki kritikus hibára akad egy Apple termékben vagy szolgáltatásban, akkor azt jelezheti, és akár be is választhatják a programba.

A díjak

Az Apple a jutalom mértékét a célkeresztbe állítható termékek és szolgáltatások, valamint a feltárt sérülékenység veszélyessége alapján határozza meg. A legtöbbet, 200 ezer dollárt olyan biztonsági résért lehet kapni, amely a secure boot kapcsán merül fel. 100 ezer dollárt érnek a Secure Enclave sebezhetőségei, míg 50 ezer dollár ütheti annak a markát, aki kernel szintű kódfuttatásra lehetőséget adó sebezhetőséget fedez fel, vagy olyan hibára akad, amely iCloud fiókokhoz történő jogosulatlan hozzáférésre ad módot. Mindebből az is következik, hogy a jutalmazási program jelenleg elsősorban az iOS, illetve az iCloud köré összpontosul. A pénzdíjak csak abban az esetben járnak, ha a kutatók részletes leírást készítenek a feltárt sebezhetőségekről, és az azok kihasználásához szükséges exploit kódokat is elkészítik.

A felajánlott pénzjutalom összege első ránézésre vonzónak tűnik, és minden bizonnyal számos meghívott kutató elégedett lesz. Ugyanakkor minden csak viszonyítás kérdése, hiszen állítólag az FBI a San Bernardino-i lövöldözés kapcsán lefoglalt iPhone feltörésekor használt módszerért és exploit kódért egymillió dollárt fizetett ki. Tavaly pedig a Zerodium ajánlott egymillió dollárt olyan exploit kódért, amellyel távoli iOS jailbreak valósítható meg a legújabb iOS verzió esetében is. Azóta ezt az összeget 500 ezer dollárra csökkentette a cég, ami még mindig szép summa.