Компания Apple пригласила всех желающих поучаствовать в программе bug bounty. Ранее она была доступна только избранным ИБ-специалистам и исключительно по приглашениям.
Программа затрагивает не только iOS, но и другие программные продукты Apple — iCloud, iPadOS, macOS, tvOS watchOS. Общий фонд для осуществления выплат превышает миллион долларов США.
Исследователь, нашедший баг, должен детально описать его таким образом, чтобы инженеры Apple смогли воспроизвести проблему. Копаться глубоко в коде или предлагать способы решения не требуется, что значительно упрощает задачу и увеличивает шанс получить выплату.
Примерное вознаграждение за обнаружение максимально опасных багов:
- Обход экрана блокировки устройства без авторизации — от 25 000 до 100 000 долларов
- Получение неавторизованного доступа к iCloud — от 25 000 до 100 000 долларов
- Извлечение данных с заблокированного устройства — от 100 000 до 250 000 долларов
Любой баг, найденный в бета-версии платформы, увеличивает выплату на 50%. На дополнительные деньги также можно рассчитывать, если проблема настолько фундаментальна, что затрагивает сразу несколько операционных систем и актуальна для новейших устройств Apple. Повышенную выплату можно получить за сообщение о баге, с помощью которого можно взломать устройство без физического доступа к нему. В этом случае исследователь также должен расписать всю цепочку использованных эксплойтов и подробную последовательность своих действий.
Условия программы bug bounty от Apple считаются одними из самых привлекательных и щедрых на рынке. Попасть в число избранных ИБ-специалистов, которые могли принять в ней участие, раньше было не так просто, но теперь ситуация изменилась. Возможно, это связано с тем, что Apple хочет сделать следующее обновлений iOS максимально беспроблемным — по слухам, при разработке iOS 14 компания сосредоточится не на добавлении новых возможностей, а на устранении багов.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия
