Apple đang giới thiệu một chương trình tiền thưởng lỗi mở rộng bao gồm macOS, tvOS, watchOS và iCloud cũng như các thiết bị iOS, giám đốc kỹ thuật bảo mật của Apple Ivan Krstić đã công bố chiều nay tại hội nghị Black Hat ở Las Vegas.
Apple đã giới thiệu chương trình thưởng lỗi cho các thiết bị iOS vào tháng 8 năm 2016, cho phép các nhà nghiên cứu bảo mật tìm thấy lỗi trong iOS nhận được khoản tiền mặt do tiết lộ lỗ hổng cho Apple. Trước đó, các thiết bị không phải iOS đã không được đưa vào, một động thái trước đó đã bị cộng đồng bảo mật chỉ trích.
Việc Apple thiếu chương trình thưởng lỗi macOS đã gây xôn xao vào đầu năm nay khi một thiếu niên người Đức ban đầu từ chối cung cấp thông tin chi tiết về một lỗ hổng bảo mật lớn của macOS Keychain vì Apple không có khoản thanh toán. Mặc dù cuối cùng anh ấy đã cung cấp thông tin cho Apple, anh ấy nói rằng anh ấy hy vọng việc từ chối của mình sẽ truyền cảm hứng cho Apple mở rộng chương trình thưởng lỗi, điều mà công ty đã thực sự làm.
Với sự ra mắt của chương trình tiền thưởng lỗi macOS mới, Apple sẽ mở phần thưởng lỗi của mình cho tất cả các nhà nghiên cứu vào cuối năm nay và họ sẽ tăng kích thước tiền thưởng tối đa từ 200.000 USD cho mỗi lần khai thác lên 1 triệu USD tùy thuộc vào bản chất của lỗ hổng bảo mật. Việc thực thi mã hạt nhân không nhấp chuột với sự bền bỉ sẽ kiếm được số tiền tối đa.
Các nhà nghiên cứu phát hiện ra các lỗ hổng trong phần mềm phát hành trước trước khi phát hành chung có thể đủ điều kiện nhận khoản tiền thưởng lên đến 50 phần trăm trên số tiền thưởng lỗi cơ bản.
Như đã báo cáo đầu tuần này , Apple cũng có kế hoạch cung cấp cho các nhà nghiên cứu bảo mật và tin tặc đã được kiểm tra và tin cậy những chiếc iPhone 'nhà phát triển', hay còn gọi là những chiếc iPhone đặc biệt cung cấp quyền truy cập sâu hơn vào phần mềm và hệ điều hành cơ bản, giúp dễ dàng phát hiện ra các lỗ hổng.
Apple đang cung cấp những chiếc iPhone này như một phần của Chương trình thiết bị nghiên cứu bảo mật iOS mới, ra mắt vào năm sau. Mục tiêu của Apple với những nỗ lực truy quét lỗi mới này là khuyến khích các nhà nghiên cứu bảo mật bổ sung tiết lộ các lỗ hổng bảo mật, cuối cùng dẫn đến các thiết bị an toàn hơn cho người tiêu dùng.
(Cảm ơn, SecuritySteve!)
Bài ViếT Phổ BiếN