Apple nudi 1.000.000$ za nalaženje propusta u iPhone i Mac uređajima

Šta više, na prošlonedeljnoj Black Hat konferenciji u Las Vegasu, najavljeno je da će Apple učesnicima big bounty programa ustupiti posebne uređaje za developere koji bi trebalo da im olakšaju da bagove nađu pre hakera.

Sanja Vatić - 12. Avgust, 2019.

Nagrađivanje onih koji nalaze ranjivosti u računarskim sistemima nije nikakva novina. Ono što jeste novina, i to neobična, jeste što je Apple nagradu za nalaženje propusta u iPhone i Mac uređajima nedavno podigao na milion dolara. Neobična je jer je ovo ubedljivo najveća suma koju neka kompanija nudi u okviru svog bug bounty programa.

Osim što je ovo za 800.000 dolara veći nagradni fond od dosadašnjeg, Apple će po prvi put nagrađivati i one koji se ne nalaze na njihovom spisku odobrenih eksperata za sajber bezbednost. Novina je i što će pored iOS-a, program nalaženja propusta sada biti usmeren i na MacOS, watchOS i Apple TV opertivni sistem.

Šta više, na prošlonedeljnoj Black Hat konferenciji u Las Vegasu, Ivan Krstić, Apple-ov šef odseka za bezbednosni inženjering i arhitekturu, najavio je da će učesnicima big bounty programa ustupiti posebne uređaje za developere koji bi trebalo da im olakšaju da bagove nađu pre hakera (uređaji neće posedovati neke bezbednosne slojeve koje inače imaju, a verovatno će biti slični onima koji su namenjeni fabričkom testiranju i za crno tržište se krijumčare iz Kine).

Naknadno je obelodanjeno i da je maksimalnih milion dolara namenjeno onome koji uspe da nađe napad na mrežu koji ne zahteva uključivanje korisnika. Upola manja nagrada namenjena je onima koji uspeju da nađu propuste za koje nije potrebna interakcija sa korisnikom, a planirani su i bonusi za nalaženje bezbednosnih mana u softveru pre njegovog lansiranja.

Inače, Apple je godinama tvrdoglavo odbijao da, poput drugih tehnoloških kompanija, pokrene spstveni bug bounty program. To je učinio tek 2016. godine za iOS i od tada je zabeleženo oko 50 ozbiljnijih prijava bezbednosnih propusta. Baš zbog toga se može učiniti da je ovim postupkom tradicionalno tajanstveni Apple otškrinuo vrata ka svojim operativnim sistemima.

Tako Forbes nagradni fond tumači kao korak kojim bi Apple da spreči hakere koji informacije o manama operativnih sistema u poslenje vreme sve češće prodaju vladama različitih država i to za sume koje dostižu i do milion i po dolara. Ovo pogotovo ima smisla imajući u vidu da su na crnom tržištu Apple-ovi bagovi na ceni, pa se lovcima više isplati da informacije o bezbednosnim propustima prodaju tamo nego da o tome obaveste Apple. Sličnog stava je i autor Wired-a, koji osim crnog tržišta, napominje da je jednako realna šansa da se Apple otvorio ka lovcima na bagove delom i iz stida zbog ranije objavljivanih propusta sa macOS-om.

Kategorija Bezbednost je pod pokroviteljstvom Data Guard Networka.