3 Minuty
Apple znacząco podnosi rangę badań nad bezpieczeństwem: już od listopada firma poszerza swój program Security Bounty oraz znosi wcześniejsze limity nagród, by jeszcze skuteczniej wspierać odkrycia zabezpieczające użytkowników przed zaawansowanym oprogramowaniem szpiegującym.
Rekordowe nagrody za wykrywanie łańcuchów luk typu spyware
Najnowsza aktualizacja programu koncentruje się na skomplikowanych, łańcuchowych podatnościach, które mogą działać jak zaawansowane spyware bez jakiejkolwiek interakcji ze strony użytkownika. Jak podkreśla Apple, takie łańcuchy — umożliwiające zdalne i ciche przejęcie systemu — kwalifikują się teraz do nagród sięgających aż 2 milionów dolarów. W przypadkach wyjątkowych, na przykład przy znalezieniu błędu w wersjach beta lub skutecznym obejściu Trybu Blokady, suma nagrody może przekroczyć 5 milionów dolarów.
Co dokładnie zmienia Apple?
- Maksymalna nagroda za wykrycie łańcucha podatności typu spyware bez udziału użytkownika: do 2 000 000 dolarów.
- Nagrody za ataki “one-click” zwiększone z 250 000 do 1 000 000 dolarów.
- Podwojone nagrody za ataki wymagające fizycznego dostępu do urządzenia.
- Za jednoczesne obejście sandboxa Safari i wykonanie zdalnego kodu: do 300 000 dolarów.
Nowe bodźce na rzecz neutralizowania największych zagrożeń
Ivan Krstic, szef bezpieczeństwa Apple, ujawnił, że firma wypłaciła dotychczas ponad 35 milionów dolarów ponad 800 badaczom z całego świata. Chociaż nagrody liczone w milionach są nadal rzadkością, Apple ma długą historię wypłat znacznych sum — sięgających setek tysięcy dolarów, a w wyjątkowych przypadkach jeszcze więcej.
Zmiany te wynikają ze szczególnej obserwacji: w ostatnich latach faktyczne przejęcia systemów operacyjnych Apple są najczęściej dziełem sprzedawców narzędzi szpiegowskich lub podmiotów powiązanych z państwami. Zwiększenie nagród ma zachęcić wybitnych badaczy do wykrywania poważnych luk, jeszcze zanim zostaną wykorzystane w atakach.
Dlaczego te zmiany mają znaczenie dla użytkowników i badaczy?
Wyższe nagrody oznaczają większą uwagę skierowaną na najbardziej wrażliwe elementy platform Apple — ochronę jądra systemu, mechanizmy ucieczek z sandboxa, obchodzenie Trybu Blokady czy egzekwowanie integralności pamięci. Użytkownicy mogą liczyć na jeszcze lepsze, szybciej łatające zabezpieczenia. Natomiast dla badaczy to jasny sygnał, że Apple jest gotowe płacić najwyższe możliwe kwoty za przełomowe odkrycia.
Wystarczy jedno odkrycie, które powstrzyma zakrojoną na szeroką skalę kampanię spyware — Apple wyraźnie podkreśla, że pieniądze pójdą za skutkiem. Tak silna motywacja może zmienić realia rynku badań nad podatnościami, sprawiając, że ujawnianie odkryć bezpośrednio firmie będzie bardziej opłacalne niż sprzedaż exploitów na szarym lub czarnym rynku.
Na co warto zwracać uwagę w najbliższej przyszłości?
- Czy coraz więcej badaczy porzuci sprzedaż exploitów na black-market i skupi się na legalnym zgłaszaniu podatności firmom technologicznym.
- Jak Apple będzie oceniać i priorytetyzować raporty kwalifikujące się do nowych, najwyższych nagród.
- Czy pojawią się szybkie aktualizacje zabezpieczeń, szczególnie w zakresie Trybu Blokady i egzekwowania integralności pamięci, po ujawnieniu istotnych luk.
Dzięki tym kompleksowym zmianom Apple stawia na to, że wyższe nagrody przyczynią się do zwiększenia bezpieczeństwa milionów użytkowników iPhone’ów, Maców oraz iPadów. Firma podkreśla też, że odpowiedzialne zgłaszanie podatności to obecnie najskuteczniejsza linia obrony przed coraz bardziej zaawansowanymi zagrożeniami szpiegowskimi.
Źródło: smarti
Zostaw komentarz