Из крупнейших компаний, связанных с IT, Apple дольше всех отторгала помощь хакеров в поиске уязвимостей в своих продуктах взамен на награду. Ярчайшим примером может послужить недавний инцидент со стрельбой в Сан-Бернардино и последующим предложением ФБР взломать за $1 млн iPhone террориста.
Теперь Apple решила отказаться от принципов и объявила корпоративную программу по поощрению поиска уязвимостей в своих продуктах, в рамках которой выплатит до $200 000. Стоить заметить, что это одна из самых высоких наград за подобную деятельность.
Программа запускается в сентябре и будет включать пять категорий наград:
- уязвимости в безопасности программ начальной загрузки: до $200 000;
- уязвимости, позволяющие получать доступ к конфиденциальным данным из Secure Enclave: $100 000;
- исполнение кода третьей стороны в ядре (with kernel privileges): до $50 000;
- доступ к данным аккаунта в iCloud на серверах Apple: до $50 000;
- доступ из процесса «в песочнице» к внешним пользовательским данным (Access from a sandboxed process to user data outside the sandbox): до $25 000.
Для участия в конкурсе, хакеры должны продемонстрировать работу своего метода на новейшей версии аппаратного и программного обеспечения. Конечная сумма награды будет зависеть от четкости отчета, и в частности от возраста найденной уязвимость, возможного риска для пользовательских данных и т.д.
Благородным со стороны Apple является решение поощрять меценатство. Так, в случае переведения хакером выигранных средств на благотворительность, компания обещает удвоить сумму. То есть, в случае выиграша $200 000, размер пожертвования будет равен $400 000.
