Платит ли apple тем кто находит ошибки

Apple предложила крупнейшую награду за взлом iPhone

Apple существенно увеличила сумму, предлагаемую хакерам за поиск уязвимостей в iPhone и Mac, — с $200 000 до $1 млн. Об этом объявил глава службы безопасности Apple Айван Крстич на конференции Black Hat в Лас-Вегасе. Как пишет Forbes USA, это самая высокая награда за выявленные ошибки из всех, что предлагают крупные технологические компании.

На $1 млн смогут рассчитывать хакеры, которые найдут способ взломать ядро iOS автономно — так, чтобы не пришлось ждать, пока пользователь нажмет на что-то или запустит какую-то программу. Награду $500 000 предложат тем, кто сможет произвести «сетевую атаку, не требующую взаимодействия с пользователем». Apple также предусмотрела бонус для хакеров, которые смогут найти слабые места в новом программном обеспечении перед его выходом.

Кроме того, если ранее рассчитывать на вознаграждение могли только хакеры, которых Apple сама позвала в программу поиска уязвимостей, то теперь принять участие в этом может любой желающий.

С момента запуска программы поиска ошибок за деньги в 2016 году хакерам удалось выявить 50 серьезных уязвимостей, сообщил Крстич.

Как пишет Forbes USA, Apple увеличивает награды для хакеров в свете того, что все более прибыльным становится закрытый рынок, где хакеры продают информацию властям за огромные суммы.

Стоимость одного эксплойта (программы, использующей уязвимости, как правило, для управления компьютером или телефоном) может достигать $1,5 млн, сказал изданию Маор Шварц — «брокер», помогающий хакерам продавать выявленные уязвимости. По его словам, за такую цену можно продать, например, эксплойт, позволяющий взломать WhatsApp без взаимодействия с пользователем, — хотя сейчас такие сделки совершаются редко.

В мае журнал PCMag публиковал рейтинг самых «дорогих» уязвимостей, выявленных хакерами. Из него следовало, что самая большая награда, которую когда-либо выдавала Microsoft, составила $200 000. Крупнейшее из вознаграждений Google — $41 000. Facebook оценил самую «дорогую» ошибку в $50 000.

Источник

Теперь вы можете заработать на поиске багов в устройствах Apple

Осенью 2016 года Apple запустила собственную программу под названием bug bounty — компания обещала выплачивать вознаграждения до 200 тысяч долларов тем, кто найдет критические баги в iOS. Правда, тогда компания не предложила исследователям достаточную сумму денежных средств, чтобы переманить их от «слива» уязвимостей сторонним компаниям. То ли в Apple пожалели денег, то ли баги были слишком мелкими, но даже 50 тысяч долларов от корпорации никто так и не получил, не говоря о более крупных суммах.

С новой программой поиска багов заработать может каждый

Видимо, в Купертино учли свои ошибки и в пятницу официально открыли свою новую программу bug bounty для всех специалистов по безопасности. О своих планах Apple рассказала еще на конференции Black Hat в Лас-Вегасе в начале этого года, но запустила ее только к концу года.

Читайте также:  Backuptrans whatsapp transfer from iphone to android ключики

Как получить деньги за баги iOS

До сих пор программа вознаграждения за найденные баги у Apple была доступна только по приглашениям, к тому же в нее были включены только устройства под управлением iOS. Как сообщает ZDNet, с сегодняшнего дня любой исследователь безопасности, который обнаружит ошибки в iOS, macOS, tvOS, watchOS или iCloud, будет иметь право на получение денежных выплат за раскрытие уязвимости для Apple.

Apple также увеличила максимальный размер вознаграждения с 200 000 долларов за эксплойт до 1 миллиона долларов в зависимости от характера уязвимости в системе безопасности. Впрочем, это не максимальное вознаграждение: Zerodium, например, предлагает вознаграждение до 1,5 миллиона долларов, Exodus — до полумиллиона долларов. Вы бы поучаствовали? Расскажите в нашем Telegram-чате.

В то же время Apple заявляет, что добавит 50-процентный бонус в дополнение к стандартной выплате за ошибки, обнаруженные в бета-версии программного обеспечения, что позволит компании устранить проблему до того, как версия ОС станет общедоступной. Программа предлагает такой же бонус для так называемых «повторных ошибок» — это ошибки, которые Apple исправила в прошлом, но появились в новой версии программного обеспечения.

Читайте также — Уязвимость в iOS 13 позволяет обойти пароль и получить доступ к контактам

Apple опубликовала на своем веб-сайте дополнительную информацию, подробно описывающую правила программы вознаграждений за найденные ошибки, а также полный перечень выплат, предлагаемых исследователям, на основании обнаруженных ими уязвимостей. При отправке отчетов эксперты по безопасности должны включать подробное описание проблемы, а также объяснение состояния системы, в котором эксплойт работает, и достаточное количество информации для Apple, чтобы в Купертино смогли воспроизвести проблему.

В следующем году Apple планирует предоставить проверенным и заслуживающим доверия исследователям и специалистам по безопасности iPhone «для разработчиков», которые обеспечивают более глубокий доступ к базовому программному обеспечению и операционной системе, что облегчит обнаружение уязвимостей.

Особенные исследователи получат специальные iPhone «для разработчиков»

Эти айфоны будут предоставляться в рамках будущей программы Apple по исследованию безопасности в устройствах iOS, которая призвана побудить исследователей безопасности раскрывать уязвимости, что в конечном итоге приведет к созданию более устойчивых к взлому iPhone, iPad, Mac и Apple TV.

Источник

За что Apple обещает миллион долларов?

Сколько устройств Apple у вас было за всё время вашего знакомства с компанией? Думаю, не ошибусь, если предположу, что больше одного. А сколько раз вы сталкивались с какими-либо проблемами в их работе? Наверное, тоже больше одного. Проблемы в работе беспроводных интерфейсов, падение автономности, принудительное замедление из-за износа аккумулятора, проблемы с разблокировкой или, наоборот, случайная разблокировка перед посторонним человеком – хоть что-то из этого наверняка было. А, между прочим, за кое-что из списка Apple готова заплатить.

Многие уже забыли, но 4 года назад, когда Apple только представила Face ID, компания объявила, что распознавание лиц – это в принципе более надёжная технология, чем дактилоскопия. Дескать, вероятность обмануть Touch ID составляет 50 000 к 1, а Face ID – 1 000 000 к 1. То есть в 25 раз ниже, а это довольно серьёзный показатель. Но пользователей такое заявление всё равно не убедило.

Читайте также:  Iphone работает экран не показывает

Можно ли взломать Face ID

Всё-таки все привыкли к тому, что отпечаток пальца – это настоящая биометрия. Именно по отпечатку или на худой конец по радужной оболочке глаза шпионы и сотрудники спецслужб в кино входят в разные секретные помещения. А лицо – оно лицо и есть, им ежедневно светишь на огромную аудиторию, а значит, безопасности в нём не больше, чем в складках на животе.

Но разубеждать пользователей Apple и не собиралась. В конце концов, что они понимают? А вот с профессиональным сообществом нужно было что-то решать. Поэтому в Купертино предложили экспертам в области кибербезопасности своеобразное пари: компания выплатит миллион долларов тому, кто сможет обмануть Face ID. Нет, награду можно было получить ещё за много разных способов взлома, но и за датчик распознавания лиц в том числе.

Получается, Apple на все 100% уверена в надёжности Face ID, но за последние годы его защиту обходили с десяток раз самыми разными способами:

  • Ребёнок снял блокировку в iPhone матери, просто подставив своё лицо – в Apple объяснили, что Face ID может неправильно работать с лицами детей до 13 лет;
  • Брат-близнец разблокировал iPhone своего брата своим лицом – в Apple объяснили, что Face ID может некорректно работать с близнецами, и сняли с себя ответственность;
  • Тайские исследователи в области кибербезопасности сделали трёхмерную маску и разблокировали с её помощью iPhone – в Купертино проигнорировали этот факт;
  • Исследователи китайской компании Tencent сняли блокировку с iPhone, подсунув ему спящего человека, надев на него очки с чёрными наклейками на месте зрачков – Apple промолчала.

Чем Touch ID лучше Face ID

При желании вы можете найти и другие способы взлома, на которые Apple либо не реагировала, либо давала какие-то посредственные объяснения. А может быть, и реагировала, но выплачивала деньги так, чтобы об этом не узнали посторонние, потому что тогда «взлом» Face ID можно было поставить на поток. Но ведь Touch ID мог стать панацеей в решении большинства этих проблем.

Face ID неправильно распознаёт лица детей? Окей, сканер отпечатков невосприимчив к этому, потому что рисунки на пальцах у всех людей отличаются. Face ID могут обмануть близнецы? Хорошо, что у Touch ID нет таких проблем. Face ID поддаётся разблокировке 3D-маской? Подделать отпечаток так, чтобы Touch ID принял его за чистую монету, невозможно.

Apple понимает, что прокололась. Face ID – это удобно, но ненадёжно. Та же разблокировка iPhone в маске при условии надетых на руку Apple Watch – отдельный сюр. Получается, Apple осознанно отказывается от защиты биометрией, полагаясь на ощущения часов, которые должны чувствовать, что они присутствуют на запястье и не снимались до момента разблокировки смартфона.

Почему? Да потому что в Купертино понимают, что защита iPhone лицом – это плохая защита, и от неё нужно отказываться. Правда, платить всем, кто смог обмануть Face ID, по миллиону компания тоже не может. Поэтому просто отказывается от своих обязательств.

Читайте также:  Apple iphone проверка имей

Источник

Apple согласилась выплатить до $500 млн за замедление работы смартфонов

Apple согласилась выплатить владельцам iPhone до $500 млн, чтобы урегулировать иск об умышленном замедлении работы старых моделей смартфонов, сообщает Reuters. Истцы считают, что корпорация таким образом пытается побудить пользователей покупать новые гаджеты.

В рамках соглашения Apple должна заплатить по $25 компенсации каждому владельцу смартфона, эта сумма может быть скорректирована. Отмечается, что общая сумма выплат составит не менее $310 млн.

Истцы — владельцы iPhone 6, 6 Plus, 6s, 6s Plus, 7, 7 Plus и SE, на которых установлена операционная система iOS 10.2.1 или более поздние версии, а также пользователи iPhone 7 и 7 Plus с iOS 11.2 или более поздних версий. Они утверждали, что их гаджеты стали хуже работать после обновления программного обеспечения. Из-за этого пользователи решили, что смартфоны нуждаются в замене батареи, либо покупали новые модели.

В Apple заявили, что снижение производительности старых устройств связано с изменениями температуры, интенсивностью использования и другими факторами. Компания также заверила, что устранила недостатки в обновляемых операционных системах.

Как отмечает агентство, урегулирование иска требует одобрения окружного судьи в Сан-Хосе (Калифорния).

В декабре 2017 года Apple призналась, что замедляла работу старых моделей iPhone. Специальный код для этого встраивался в обновления операционной системы iOS. Корпорация извинилась и пояснила, что это было сделано для того, чтобы компенсировать износ батареи. Однако пользователи обвинили компанию в обмане и попытках вынудить потребителей покупать новые модели взамен устаревающих. Сразу в нескольких американских штатах в адрес корпорации были поданы иски в суд.

Источник

Apple заплатила эксперту $100 тыс. за найденную уязвимость

Специалист по кибербезопасности из Дели Бхавук Джайн обнаружил уязвимость в системе авторизации «Вход с Apple». Она позволяла злоумышленникам получить доступ к аккаунтам пользователей, если те заходили на сторонние сайты при помощи учетной записи в Apple, передает Forbes.

Функция «Вход с Apple» была запущена в прошлом году. Как сообщает компания, она предназначена для сохранения конфиденциальности и контроля личных данных. При первом входе в систему программы и веб-сайты могут запросить для настройки учетной записи только имя и адрес электронной почты пользователя.

В процессе аутентификации пользователя через «Вход с Apple» сервер генерирует ключ JSON Web Token (JWT). Он содержит конфиденциальную информацию, которую стороннее приложение использует для подтверждения личности пользователя. По словам Джайна, Apple не проверяла, запрашивает ли JWT тот же пользователь.

«Это означает, что злоумышленник может подделать JWT, связав с ним любой идентификатор электронной почты и получив доступ к учетной записи жертвы», — сообщил он на своем сайте.

Джайн обнаружил уязвимость в апреле и сообщил об этом компании, которая выплатила ему вознаграждение в $100 тыс. В Apple рассказали эксперту, что провели внутреннее расследование и выяснили, что до того, как уязвимость устранили, ни одного случая взлома учетной записи не было зафиксировано.

В январе исследователи Google обнаружили, что система защиты веб-браузера Safari, которая установлена на устройствах Apple, позволяла злоумышленникам следить за пользователями. После того как коллеги сообщили компании об уязвимости, Apple исправила ошибку.

Источник

Оцените статью