Appleは、macOS、tvOS、watchOS、iCloud、およびiOSデバイスをカバーする拡張バグ報奨金プログラムを導入しています。Appleのセキュリティエンジニアリング責任者であるIvanKrstićは、今日の午後、ラスベガスで開催されたBlackHatカンファレンスで発表しました。
Appleは2016年8月にiOSデバイス向けのバグ報奨金プログラムを導入しました。これにより、iOSのバグを見つけたセキュリティ研究者は、Appleの脆弱性を開示するための現金支払いを受け取ることができます。これまで、iOS以外のデバイスは含まれていませんでした。これは、以前はセキュリティコミュニティから批判されていた動きです。
AppleのmacOSバグ報奨金プログラムの欠如は、Appleが支払いを持っていなかったために、ドイツのティーンエイジャーが最初に主要なmacOSキーチェーンセキュリティ欠陥の詳細を引き渡すことを拒否したときに話題になりました。彼は最終的にAppleに情報を提供したが、彼の拒否がAppleにそのバグ報奨金プログラムを拡大するように刺激することを望んでいると彼は言った。
新しいmacOSバグバウンティプログラムの開始に伴い、Appleは今年後半にすべての研究者にバグバウンティを公開し、セキュリティ上の欠陥の性質に応じて、バウンティの最大サイズをエクスプロイトあたり20万ドルから100万ドルに増やしています。永続性を備えたゼロクリックカーネルコード実行は、最大量を獲得します。
一般リリースの前にプレリリースソフトウェアの脆弱性を発見した研究者は、基本的なバグ報奨金に加えて、最大50%のボーナス支払いを受ける資格があります。
報告されたように 今週はじめ 、アップルはまた、脆弱性の発見を容易にする基盤となるソフトウェアとオペレーティングシステムへのより深いアクセスを提供する特別なiPhoneである「開発」iPhoneを精査され信頼できるセキュリティ研究者とハッカーに提供することを計画しています。
Appleは、来年発売される新しいiOSセキュリティリサーチデバイスプログラムの一環として、これらのiPhoneを提供しています。これらの新しいバグバウンティの取り組みにおけるAppleの目的は、追加のセキュリティ研究者に脆弱性の開示を促し、最終的には消費者にとってより安全なデバイスにつながることです。
(ありがとう、SecuritySteve!)
人気の投稿