Goodtech

Метка: Bug Bounty

  • Apple будет платить до $5 млн за найденные баги в своих системах

    Apple будет платить до $5 млн за найденные баги в своих системах

    Apple существенно обновила свою программу вознаграждений за обнаружение уязвимостей — Apple Security Bounty, которая действует с 2020 года. За это время компания уже выплатила более $35 млн более чем 800 исследователям в сфере безопасности. В среднем каждый из них получил примерно $43 750, но теперь ставки выросли — Apple готова платить значительно больше.

    Новые правила Apple для охотников за багами

    В своем блоге Apple описала главные изменения в программе вознаграждений. Если коротко подытожить, они сводятся к следующему:

    • Удвоено максимальное вознаграждение — теперь до $2 млн можно получить за обнаружение цепей эксплойтов, которые могут достигать целей, подобных атакам шпионского ПО высокого уровня, используемого наемными хакерами.
    • За обход режима Lockdown Mode и уязвимости в бета-версиях программного обеспечения предусмотрены дополнительные бонусы. Общая сумма вознаграждения в таких случаях может достигать до $5 млн.
    • $100 тыс. долларов — за обнаружение полного обхода Gatekeeper, который позволяет вредоносному коду запускаться на macOS без срабатывания проверок безопасности.
    • $1 млн — за нахождение способа получить широкий несанкционированный доступ к iCloud.
    • В программу добавлена категория one-click WebKit sandbox escapes, то есть уязвимости, которые позволяют обойти защиту WebKit (движка Safari ) лишь одним нажатием — за них обещают до $300 тыс.
    • Еще $1 млн Apple заплатит за обнаружение эксплойтов беспроводной близости, независимо от того, какой именно радиомодуль используется.

    Как эти изменения влияют на безопасность Apple

    Программа вознаграждений существенно помогла компании укрепить свои системы. Среди заметных достижений:

    • Режим Lockdown Mode, который минимизирует пути атаки — блокирует вложения, предварительный просмотр ссылок и веб-скрипты.
    • Обновленная архитектура безопасности Safari, что затрудняет эксплуатацию ошибок в браузере.
    • Memory Integrity Enforcement — аппаратная функция защиты от повреждения памяти, реализованная в новых чипах, в частности A19.

    Apple отмечает, что после этих усовершенствований системные атаки на iOS остаются возможными только с помощью сверхсложного шпионского ПО, разработка которого стоит миллионы долларов. Такие атаки обычно нацелены только на ограниченный круг лиц.

    Ранее Microsoft заявляла, что будет выплачивать до $20 тыс. за найденные ошибки в Defender.

    Источник: wccftech

    https://itc.ua/news/apple-budet-platyt-do-5-mln-za-najdennye-bagy-v-svoyh-systemah/

  • Apple платитиме до $5 млн за знайдені баги у своїх системах

    Apple платитиме до $5 млн за знайдені баги у своїх системах

    Apple суттєво оновила свою програму винагород за виявлення вразливостей — Apple Security Bounty, яка діє з 2020 року. За цей час компанія вже виплатила понад $35 млн більш ніж 800 дослідникам у сфері безпеки. У середньому кожен із них отримав приблизно $43 750, але тепер ставки зросли — Apple готова платити значно більше.

    Нові правила Apple для мисливців за багами

    У своєму блозі Apple описала головні зміни в програмі винагород. Якщо коротко підсумувати, вони зводяться до наступного:

    • Подвоєно максимальну винагороду — тепер до $2 млн можна отримати за виявлення ланцюгів експлойтів, які можуть досягати цілей, подібних до атак шпигунського ПЗ найвищого рівня, що використовується найманими хакерами.
    • За обхід режиму Lockdown Mode і вразливості у бета-версіях програмного забезпечення передбачено додаткові бонуси. Загальна сума винагороди у таких випадках може сягати до $5 млн.
    • $100 тис. доларів — за виявлення повного обходу Gatekeeper, який дозволяє шкідливому коду запускатися на macOS без спрацьовування перевірок безпеки.
    • $1 млн — за знайдення способу отримати широкий несанкціонований доступ до iCloud.
    • До програми додано категорію one-click WebKit sandbox escapes, тобто вразливості, які дозволяють обійти захист WebKit (рушія Safari ) лише одним натисканням — за них обіцяють до $300 тис.
    • Ще $1 млн Apple заплатить за виявлення експлойтів бездротової близькості, незалежно від того, який саме радіомодуль використовується.

    Як ці зміни впливають на безпеку Apple

    Програма винагород суттєво допомогла компанії зміцнити свої системи. Серед помітних досягнень:

    • Режим Lockdown Mode, який мінімізує шляхи атаки — блокує вкладення, попередній перегляд посилань і вебскрипти.
    • Оновлена архітектура безпеки Safari, що ускладнює експлуатацію помилок у браузері.
    • Memory Integrity Enforcement — апаратна функція захисту від пошкодження пам’яті, реалізована у нових чипах, зокрема A19.

    Apple зазначає, що після цих удосконалень системні атаки на iOS залишаються можливими лише за допомогою надскладного шпигунського ПЗ, розробка якого коштує мільйони доларів. Такі атаки зазвичай націлені лише на обмежене коло осіб.

    Раніше Microsoft заявляла , що виплачуватиме до $20 тис. за знайдені помилки в Defender.

    Джерело: wccftech

    https://itc.ua/ua/novini/apple-platytyme-do-5-mln-za-znajdenyj-bag-u-svoyih-systemah/