Apple sẽ trả cho các hacker lên tới 1 triệu đô la để báo cáo các lỗ hổng_1

Apple sẽ trả cho các hacker lên tới 1 triệu đô la để báo cáo các lỗ hổng

August 9, 2019 | vietsunshine

Apple vừa cập nhật các quy tắc của chương trình tiền thưởng lỗi (bug bounty program) của mình bằng cách thông báo một vài thay đổi lớn tại hội nghị bảo mật thường niên của Black Hat hôm qua.

Apple đã tăng phần thưởng tối đa cho chương trình tiền thưởng lỗi của mình từ 200.000 đô la lên 1 triệu đô la, đó là tiền thưởng lỗi lớn nhất được cung cấp bởi bất kỳ công ty công nghệ lớn nào để báo cáo các lỗ hổng trong sản phẩm của họ.

Khoản thanh toán 1 triệu đô la sẽ được thưởng cho việc khai thác nghiêm trọng, một lỗ hổng thực thi mã hạt nhân (kernel code execution) không cần nhấp chuột, cho phép kiểm soát hoàn toàn, liên tục hạt nhân của thiết bị. Khai thác ít nghiêm trọng hơn sẽ đủ điều kiện cho các khoản thanh toán nhỏ hơn.

Từ giờ trở đi, chương trình tiền thưởng lỗi của Apple không chỉ áp dụng để tìm lỗ hổng bảo mật trong hệ điều hành di động iOS, mà còn bao gồm tất cả các hệ điều hành của nó, bao gồm macOS, watchOS, tvOS, iPadOS và iCloud.

Apple sẽ trả cho các hacker lên tới 1 triệu đô la để báo cáo các lỗ hổng

Kể từ khi thành lập khoảng ba năm trước, chương trình tiền thưởng lỗi của Apple chỉ thưởng cho các nhà nghiên cứu bảo mật và thợ săn tiền thưởng vì đã phát hiện ra các lỗ hổng trong hệ điều hành di động iOS.

Từ năm tới, Apple cũng sẽ cung cấp iPhone đã được bẻ khóa trước cho các nhà nghiên cứu bảo mật đáng tin cậy như là một phần của iOS Security Research Device Program. Chương trình mới lần đầu tiên được báo cáo bởi Forbes.

Các thiết bị này sẽ có quyền truy cập sâu hơn nhiều so với iPhone có sẵn cho người dùng hàng ngày, bao gồm quyền truy cập vào ssh, root shell và khả năng gỡ lỗi nâng cao, cho phép các nhà nghiên cứu tìm kiếm các lỗ hổng ở cấp độ bảo mật shell.

Mặc dù bất cứ ai cũng có thể đăng ký để nhận một trong những chiếc iPhone đặc biệt này từ Apple, công ty sẽ chỉ trao một số lượng hạn chế các thiết bị này và chỉ cho các nhà nghiên cứu có trình độ.

Ngoài phần thưởng tối đa là 1 triệu đô la, Apple cũng tặng 50% tiền thưởng cho các nhà nghiên cứu tìm thấy và báo cáo các lỗ hổng bảo mật trong phần mềm phát hành trước (phiên bản beta) trước khi phát hành công khai, đưa phần thưởng tối đa lên tới 1,5 triệu đô la.

Bạn có thể đăng ký chương trình bug bounty của Apple vào cuối năm nay, chương trình này sẽ mở cho tất cả các nhà nghiên cứu, thay vì một số lượng hạn chế các chuyên gia bảo mật được Apple phê duyệt.

Sự mở rộng và tăng mạnh trong việc chi trả cho chương trình tiền thưởng lỗi của Apple có thể sẽ được chào đón bởi các nhà nghiên cứu bảo mật và thợ săn tiền thưởng, những người có thể tiết lộ công khai các lỗ hổng mà họ phát hiện trong các sản phẩm của Apple hoặc bán cho các nhà cung cấp tư nhân như Zerodium, Cellebrite và Grayshift. trong khai thác zero-day, vì lợi nhuận.

Nguồn: Apple will now pay hackers up to $1 million for reporting vulnerabilities

Xem thêm: Phần mềm độc hại mới khai thác lỗ hổng của GateKeeper trên macOS

Phần mềm Apple, Oracle, VMware bị hack tại Pwn2Own 2019

Tags: , ,