Apple Apple, Black Hat USA 2016'da Bug Bounty Programını Başlattı

Apple nihayet bir hata ödül programına sahip.

Şirketin güvenlik mühendisliği ve mimarisi başkanı Ivan Krstiç, 4 Ağustos gecesi Las Vegas'ta düzenlenen Black Hat USA 2016 korsanları kongresinde nadir görülen bir kamuoyu görünümünde yalnızca davet edici programı açıkladı.

Tüm Apple ürünlerinin uçtan uca güvenliğinden sorumlu olan ekibi yöneten Krstic, şirketin Perşembe günü yaptığı sunumda tespit edilen ve "iOS Güvenlik Sahnelerinin Arkasında" adlı hata için 200.000 $ 'a kadar ödeme yapacağını söyledi.

Tazminat kesmeye bağlıdır: güvenli önyükleme ürün yazılımı bileşenlerinden ödün vermeden en fazla 200.000 ABD Doları değerinde net alan sanallaştırılmış uygulama verilerine erişim 25.000 ABD Doları değerindedir.

Korsanları gizlice kullanmak yerine güvenlik açıklarını açıklamaya çalıştıkları için ödüllendirmek giderek yaygınlaştı - Uber'den Pentagon'a kadar herkes öyle.

Apple'ın araştırmacıların iyi niyetine güvenmekten, hata açıklamaları için bir ödül sunmaya kayması muhtemelen 2015 San Bernardino çekimlerine bağlı bir iPhone 5c cep telefonunun kesilmesiyle motive olmuş durumda. Halk kesmek ve hala kırmak için kullanılıp kullanılamayacağını çok az biliyor. bir iPhone içine.

Black Hat katılımcısı Robert McCarthy

Kitle: “FBI sorunu pozisyonunuzu ne kadar etkiledi?”

Ivan Krstic: “Burada teknik soruları yanıtlayan bir mühendisim”

Apple bu durumda yardım etmeyi reddettiğinde iPhone'u hacklemek için hala bilinmeyen bir üçüncü tarafa ödeme yapan FBI bile, cihazın nasıl tehlikeye atıldığını bilmiyor. FBI direktörü James Comey’in 1.3 milyon dolara mal olduğunu iddia ettiği ve daha sonra 1 milyon dolardan az olduğunu iddia eden daha sonraki raporlarla çürütüldüğünü iddia ettiği için hack’in ne kadara mal olduğunu bile bilmiyor olabilir.

FBI cihazda hiçbir şey bulamadığı için bu belirsizlik daha da önemli. Bu, dünyanın önde gelen kanun uygulayıcı kurumlarından birinin, bilinmeyen bir kesmeyi gerçekleştirmesi için bilinmeyen bir şirkete bilinmeyen bir miktar para kazandırdığı anlamına gelir - bu nedenle yapılabileceğini ve iPhone 5c'li herkesin risk altında olduğunu - karşılığında hiçbir şey elde etmeden olduğunu gösterir.

Bir hata ödül programı, Apple'ın bu değişkenlerin bazılarını ortadan kaldırmasına ve ürünlerini daha güvenli hale getirmesine izin verebilir. Yine de, programın birkaç düzine araştırmacı ile başlaması ve yalnızca davetle genişletilmesi garip. Bir hata ödül programının amacı, genel olarak neyin üzerinde çalışabileceklerini görmek için çeşitli güvenlik özelliklerinin etrafında dolaşmak için mümkün olduğu kadar çok insanı elde etmektir.

Apple, zaman geçtikçe programa daha fazla insan davet etmeyi ve diğer kanallardan ciddi bir güvenlik açığı olduğunu bildiren herkesi “davet etmeyi” planlıyor, ancak şimdilik Apple'ın ayak parmaklarını böcek ödül havuzuna batırdığı anlaşılıyor. Bu, genellikle temkinli olan, ancak en kısa zamanda ödül için rekabet etmek isteyen herkes için üzücü olacaktır.

Yine de, bu Apple için olağanüstü bir gelişmedir. Öyleyse Krstic, Black Hat USA gibi bir etkinlikte ilk sırada yer alıyordu. Diğer değişikliklerle bir araya geldiğinde, iOS 10 çekirdeğini şifrelememe kararı gibi, San Bernardino bölümünün mirasının gölgelerden çıkmaya istekli bir Apple olabileceği, böylece ürünlerini kullanan birçok insanı biraz daha güvende tutabileceği görülüyor.