Apple платит за баги

Apple предложила крупнейшую награду за взлом iPhone

Apple существенно увеличила сумму, предлагаемую хакерам за поиск уязвимостей в iPhone и Mac, — с $200 000 до $1 млн. Об этом объявил глава службы безопасности Apple Айван Крстич на конференции Black Hat в Лас-Вегасе. Как пишет Forbes USA, это самая высокая награда за выявленные ошибки из всех, что предлагают крупные технологические компании.

На $1 млн смогут рассчитывать хакеры, которые найдут способ взломать ядро iOS автономно — так, чтобы не пришлось ждать, пока пользователь нажмет на что-то или запустит какую-то программу. Награду $500 000 предложат тем, кто сможет произвести «сетевую атаку, не требующую взаимодействия с пользователем». Apple также предусмотрела бонус для хакеров, которые смогут найти слабые места в новом программном обеспечении перед его выходом.

Кроме того, если ранее рассчитывать на вознаграждение могли только хакеры, которых Apple сама позвала в программу поиска уязвимостей, то теперь принять участие в этом может любой желающий.

С момента запуска программы поиска ошибок за деньги в 2016 году хакерам удалось выявить 50 серьезных уязвимостей, сообщил Крстич.

Как пишет Forbes USA, Apple увеличивает награды для хакеров в свете того, что все более прибыльным становится закрытый рынок, где хакеры продают информацию властям за огромные суммы.

Стоимость одного эксплойта (программы, использующей уязвимости, как правило, для управления компьютером или телефоном) может достигать $1,5 млн, сказал изданию Маор Шварц — «брокер», помогающий хакерам продавать выявленные уязвимости. По его словам, за такую цену можно продать, например, эксплойт, позволяющий взломать WhatsApp без взаимодействия с пользователем, — хотя сейчас такие сделки совершаются редко.

В мае журнал PCMag публиковал рейтинг самых «дорогих» уязвимостей, выявленных хакерами. Из него следовало, что самая большая награда, которую когда-либо выдавала Microsoft, составила $200 000. Крупнейшее из вознаграждений Google — $41 000. Facebook оценил самую «дорогую» ошибку в $50 000.

Источник

Теперь вы можете заработать на поиске багов в устройствах Apple

Осенью 2016 года Apple запустила собственную программу под названием bug bounty — компания обещала выплачивать вознаграждения до 200 тысяч долларов тем, кто найдет критические баги в iOS. Правда, тогда компания не предложила исследователям достаточную сумму денежных средств, чтобы переманить их от «слива» уязвимостей сторонним компаниям. То ли в Apple пожалели денег, то ли баги были слишком мелкими, но даже 50 тысяч долларов от корпорации никто так и не получил, не говоря о более крупных суммах.

С новой программой поиска багов заработать может каждый

Видимо, в Купертино учли свои ошибки и в пятницу официально открыли свою новую программу bug bounty для всех специалистов по безопасности. О своих планах Apple рассказала еще на конференции Black Hat в Лас-Вегасе в начале этого года, но запустила ее только к концу года.

Как получить деньги за баги iOS

До сих пор программа вознаграждения за найденные баги у Apple была доступна только по приглашениям, к тому же в нее были включены только устройства под управлением iOS. Как сообщает ZDNet, с сегодняшнего дня любой исследователь безопасности, который обнаружит ошибки в iOS, macOS, tvOS, watchOS или iCloud, будет иметь право на получение денежных выплат за раскрытие уязвимости для Apple.

Apple также увеличила максимальный размер вознаграждения с 200 000 долларов за эксплойт до 1 миллиона долларов в зависимости от характера уязвимости в системе безопасности. Впрочем, это не максимальное вознаграждение: Zerodium, например, предлагает вознаграждение до 1,5 миллиона долларов, Exodus — до полумиллиона долларов. Вы бы поучаствовали? Расскажите в нашем Telegram-чате.

В то же время Apple заявляет, что добавит 50-процентный бонус в дополнение к стандартной выплате за ошибки, обнаруженные в бета-версии программного обеспечения, что позволит компании устранить проблему до того, как версия ОС станет общедоступной. Программа предлагает такой же бонус для так называемых «повторных ошибок» — это ошибки, которые Apple исправила в прошлом, но появились в новой версии программного обеспечения.

Читайте также — Уязвимость в iOS 13 позволяет обойти пароль и получить доступ к контактам

Apple опубликовала на своем веб-сайте дополнительную информацию, подробно описывающую правила программы вознаграждений за найденные ошибки, а также полный перечень выплат, предлагаемых исследователям, на основании обнаруженных ими уязвимостей. При отправке отчетов эксперты по безопасности должны включать подробное описание проблемы, а также объяснение состояния системы, в котором эксплойт работает, и достаточное количество информации для Apple, чтобы в Купертино смогли воспроизвести проблему.

В следующем году Apple планирует предоставить проверенным и заслуживающим доверия исследователям и специалистам по безопасности iPhone «для разработчиков», которые обеспечивают более глубокий доступ к базовому программному обеспечению и операционной системе, что облегчит обнаружение уязвимостей.

Особенные исследователи получат специальные iPhone «для разработчиков»

Эти айфоны будут предоставляться в рамках будущей программы Apple по исследованию безопасности в устройствах iOS, которая призвана побудить исследователей безопасности раскрывать уязвимости, что в конечном итоге приведет к созданию более устойчивых к взлому iPhone, iPad, Mac и Apple TV.

Источник

Apple заплатит до $1,5 млн за нахождение уязвимостей в iPhone

Компания не жалеет денег.

Apple официально открыла программу по поиску уязвимостей в ее продуктах для всех желающих исследователей безопасности. Компания будет платить разработчикам и хакерам за нахождение критических уязвимостей и багов в системе безопасности iOS, macOS, watchOS, tvOS и iCloud.

Прежде возможность заработать на поиске уязвимостей в iPhone имели только избранные разработчики, приглашенные в закрытую программу Apple. С сегодняшнего дня программа открыта для всех желающих. Кроме этого, Apple объявила о том, что будет награждать разработчиков за обнаружение уязвимостей не только в iOS, но и во всех других операционных системах.

С запуском общедоступной программы Apple увеличила максимальный размер вознаграждения за нахождение критической уязвимости до $1 млн (около 62 млн рублей). Также в компании сообщили, что она добавит 50-процентный бонус к выплате, если проблема будет обнаружена в бета-версии программного обеспечения. Таким образом, максимальная награда для разработчиков составляет $1,5 млн (около 93 млн рублей).

Новая программа позволит Apple находить больше уязвимостей в своих программных продуктах и оперативно исправлять их, в том числе до релиза прошивок. Предполагается, что это один из шагов Apple по увеличению безопасности устройств после нахождения в прошивках нескольких критических уязвимостей за последние несколько лет.

Apple опубликовала все подробности обновленной программы поиска уязвимостей на своем официальном сайте.

Источник

За найденные баги Apple будет платить до $200 тыс.

Большинство крупных компаний, таких как Microsoft, Fiat Chrysler, United Airlines и другие, щедро вознаграждают специалистов по безопасности, которые находят «дыры» в их программном обеспечении. Например, Google за последний год заплатила в совокупности $550 тыс. тем, кто находил уязвимости в операционной системе Android. А Facebook за шесть лет потратила на свою премиальную программу по нахождению багов более $4,3 млн.

В компании Apple такой практики до последнего времени не было. Возможно потому, что в её операционных системах уровень безопасности выше и критические ошибки встречаются реже, чем в Windows. Многие добросовестные хакеры, найдя ошибки, сообщали об этом Apple. Но кто-то хотел и заработать на этом, продавая информацию о найденных уязвимостях заинтересованным лицам. С новой премиальной программой Apple у исследователей будет теперь больше стимула сообщать о своих находках непосредственно разработчикам, а не злоумышленникам.

На известной конференции по информационной безопасности Black Hat глава соответствующего подразделения Apple Иван Крстич (Ivan Krstic) отметил, что за нахождение уязвимости компания вознаградит суммой до $200 тыс. Конечно, размер премии будет зависеть, скорее всего, от серьёзности найденной «дыры» и сложности проделанной работы.

Программа стартует в сентябре, и будет охватывать и поощрять, в первую очередь, несколько десятков исследователей, с которыми компания уже сотрудничала ранее. Но это не будет закрытый эксклюзивный клуб. Если кто-то другой найдёт ценную уязвимость, Apple вознаградит его.

Источник

За что Apple обещает миллион долларов?

Сколько устройств Apple у вас было за всё время вашего знакомства с компанией? Думаю, не ошибусь, если предположу, что больше одного. А сколько раз вы сталкивались с какими-либо проблемами в их работе? Наверное, тоже больше одного. Проблемы в работе беспроводных интерфейсов, падение автономности, принудительное замедление из-за износа аккумулятора, проблемы с разблокировкой или, наоборот, случайная разблокировка перед посторонним человеком – хоть что-то из этого наверняка было. А, между прочим, за кое-что из списка Apple готова заплатить.

Многие уже забыли, но 4 года назад, когда Apple только представила Face ID, компания объявила, что распознавание лиц – это в принципе более надёжная технология, чем дактилоскопия. Дескать, вероятность обмануть Touch ID составляет 50 000 к 1, а Face ID – 1 000 000 к 1. То есть в 25 раз ниже, а это довольно серьёзный показатель. Но пользователей такое заявление всё равно не убедило.

Можно ли взломать Face ID

Всё-таки все привыкли к тому, что отпечаток пальца – это настоящая биометрия. Именно по отпечатку или на худой конец по радужной оболочке глаза шпионы и сотрудники спецслужб в кино входят в разные секретные помещения. А лицо – оно лицо и есть, им ежедневно светишь на огромную аудиторию, а значит, безопасности в нём не больше, чем в складках на животе.

Но разубеждать пользователей Apple и не собиралась. В конце концов, что они понимают? А вот с профессиональным сообществом нужно было что-то решать. Поэтому в Купертино предложили экспертам в области кибербезопасности своеобразное пари: компания выплатит миллион долларов тому, кто сможет обмануть Face ID. Нет, награду можно было получить ещё за много разных способов взлома, но и за датчик распознавания лиц в том числе.

Получается, Apple на все 100% уверена в надёжности Face ID, но за последние годы его защиту обходили с десяток раз самыми разными способами:

• Ребёнок снял блокировку в iPhone матери, просто подставив своё лицо – в Apple объяснили, что Face ID может неправильно работать с лицами детей до 13 лет;
• Брат-близнец разблокировал iPhone своего брата своим лицом – в Apple объяснили, что Face ID может некорректно работать с близнецами, и сняли с себя ответственность;
• Тайские исследователи в области кибербезопасности сделали трёхмерную маску и разблокировали с её помощью iPhone – в Купертино проигнорировали этот факт;
• Исследователи китайской компании Tencent сняли блокировку с iPhone, подсунув ему спящего человека, надев на него очки с чёрными наклейками на месте зрачков – Apple промолчала.

Чем Touch ID лучше Face ID

При желании вы можете найти и другие способы взлома, на которые Apple либо не реагировала, либо давала какие-то посредственные объяснения. А может быть, и реагировала, но выплачивала деньги так, чтобы об этом не узнали посторонние, потому что тогда «взлом» Face ID можно было поставить на поток. Но ведь Touch ID мог стать панацеей в решении большинства этих проблем.

Face ID неправильно распознаёт лица детей? Окей, сканер отпечатков невосприимчив к этому, потому что рисунки на пальцах у всех людей отличаются. Face ID могут обмануть близнецы? Хорошо, что у Touch ID нет таких проблем. Face ID поддаётся разблокировке 3D-маской? Подделать отпечаток так, чтобы Touch ID принял его за чистую монету, невозможно.

Apple понимает, что прокололась. Face ID – это удобно, но ненадёжно. Та же разблокировка iPhone в маске при условии надетых на руку Apple Watch – отдельный сюр. Получается, Apple осознанно отказывается от защиты биометрией, полагаясь на ощущения часов, которые должны чувствовать, что они присутствуют на запястье и не снимались до момента разблокировки смартфона.

Почему? Да потому что в Купертино понимают, что защита iPhone лицом – это плохая защита, и от неё нужно отказываться. Правда, платить всем, кто смог обмануть Face ID, по миллиону компания тоже не может. Поэтому просто отказывается от своих обязательств.

Источник