Apple stellt ein erweitertes Bug-Bounty-Programm vor, das macOS, tvOS, watchOS und iCloud sowie iOS-Geräte abdeckt, kündigte Apples Sicherheitsingenieur Ivan Krstić heute Nachmittag auf der Black-Hat-Konferenz in Las Vegas an.
Apple hat im August 2016 sein Bug-Bounty-Programm für iOS-Geräte eingeführt, mit dem Sicherheitsforscher, die Fehler in iOS finden, eine Barauszahlung für die Offenlegung der Sicherheitslücke an Apple erhalten. Bisher waren Nicht-iOS-Geräte nicht enthalten, ein Schritt, der zuvor von der Sicherheits-Community kritisiert wurde.
Apples Fehlen eines macOS-Bug-Bounty-Programms machte Anfang des Jahres Schlagzeilen, als ein deutscher Teenager sich anfangs weigerte, Details einer großen Sicherheitslücke im macOS-Schlüsselbund herauszugeben, weil Apple keine Auszahlung hatte. Obwohl er Apple letztendlich die Informationen zur Verfügung stellte, sagte er, er hoffe, dass seine Weigerung Apple dazu inspirieren würde, sein Bug-Bounty-Programm zu erweitern, was das Unternehmen tatsächlich getan hat.
Mit der Einführung des neuen macOS-Bug-Bounty-Programms öffnet Apple im Laufe dieses Jahres seine Bug-Bounties für alle Forscher und erhöht die maximale Höhe des Bounty von 200.000 US-Dollar pro Exploit auf 1 Million US-Dollar, je nach Art der Sicherheitslücke. Eine Null-Klick-Ausführung von Kernel-Code mit Persistenz wird den maximalen Betrag einbringen.
Forscher, die vor der allgemeinen Veröffentlichung Schwachstellen in Pre-Release-Software entdecken, können sich für eine Bonusauszahlung von bis zu 50 Prozent zusätzlich zum Basis-Bug-Bounty-Betrag qualifizieren.
Wie berichtet früher diese Woche , plant Apple außerdem, geprüften und vertrauenswürdigen Sicherheitsforschern und Hackern 'Dev'-iPhones zur Verfügung zu stellen, auch bekannt als spezielle iPhones, die einen tieferen Zugriff auf die zugrunde liegende Software und das zugrunde liegende Betriebssystem ermöglichen, wodurch Schwachstellen leichter entdeckt werden können.
Apple stellt diese iPhones im Rahmen seines neuen iOS Security Research Device Program zur Verfügung, das im nächsten Jahr auf den Markt kommt. Apples Ziel mit diesen neuen Bug-Bounty-Bemühungen ist es, zusätzliche Sicherheitsforscher zu ermutigen, Schwachstellen aufzudecken, was letztendlich zu sichereren Geräten für die Verbraucher führt.
(Danke, SecuritySteve!)
Beliebte Beiträge