Apple збільшує вдвічі виплати за виявлення слабких місць і дефектів Apple зробила заяву про зміни в своїй програмі винагород за слабкі місця та представила нові суми. Про це інформує Engadget.
Які суми Apple буде виплачувати експертам із кібербезпеки
Найбільшу початкову виплату збільшено вдвічі з $1 млн до $2 млн для ланцюжків експлойтів «zero-click», націлених на об’єкти, подібні до атаки комерційного шпигунського ПЗ. У певних ситуаціях загальна сума може досягати більше $5 млн, якщо знайдений недолік пов’язаний, наприклад, з бета-ПЗ або дозволяє обійти розширений режим захисту Lockdown Mode у Safari.Інші категорії також зазнали збільшення. За ланцюжки, що вимагають одного кліка користувача, тепер передбачено до $1 млн замість $250 000. За атаки з невеликої фізичної відстані також можна отримати до $1 млн (у порівнянні з попередніми $250 000). Максимальна сума за вразливості, які потребують фізичного доступу до заблокованого пристрою, збільшилась до $500 000. Додатково Apple виплачує до $300 000 за демонстрацію виконання коду в компоненті WebContent у поєднанні з виходом із «пісочниці».Компанія акцентує увагу на тому, що системні атаки на iOS, які вона бачила «в реальних умовах», походили від шпигунських інструментів, пов’язаних з державними структурами. Новітні механізми захисту, включно з Lockdown Mode і Memory Integrity Enforcement, ускладнюють експлуатацію звичайних дефектів пам’яті, однак зловмисники пристосовуються. Тому збільшені виплати повинні заохочувати глибокі дослідження найважливіших площин атаки, незважаючи на зростання їхньої складності.За словами віцепрезидента Apple з безпеки Івана Крстича, з моменту запуску та розширення програми компанія вже виплатила понад $35 млн більш ніж 800 дослідникам. Найбільші чеки зустрічаються нечасто, але Apple неодноразово нагороджувала знахідки на $500 000, коли дослідники демонстрували надійно відтворювані ланцюжки з мінімальним впливом.InvestMarket від «Мінфін» — онлайн-інструмент навігації на ринку інвестицій. Порівнюйте умови та вибирайте проєкти для інвестування.Верхню межу винагороди Apple останній раз змінювала на рівні $1 млн для атак «zero-click», тому теперішнє подвоєння та окремі премії за бета-помилки й обходи захисних режимів формують один з найбільших «цінників» у індустрії. Акцент переміщено на комплексні багатокрокові ланцюжки, що наближені до інструментів шпигунських кампаній, а не на ізольовані незначні дефекти.Компанія сподівається, що збільшені виплати прискорять відповідальні розкриття та допоможуть усувати критичні прогалини до того, як їх використають справжні зловмисники.
Источник: news.finance.ua
