Компания Apple рассказала, что сколько будет платить исследователям безопасности за обнаружение уязвимостей в сервисах и устройствах. Теперь этому посвящена страница на специальном сайте Apple Developer.
Что произошло?
В августе 2019 года на конференции Black Hat представитель Apple объявил, что компания включит в свою программу вознаграждения за обнаружение уязвимостей в сервисах и во всех устройствах. Ранее она действовала только на iPhone:
Apple позволит «белым» хакерам взламывать iPhone
Сейчас же компания, наконец, сформировала полный прайс.
Что почём?
Минимальная сумма вознаграждения составляет 25 тысяч долларов. Максимальная — 1 млн долларов.
25 тысяч долларов получит исследователь безопасности, который смог:
- Получить ограниченный несанкционированный доступ к учётной записи iCloud;
- Или получить доступ к конфиденциальной информации на экране блокировке;
- Или доступ к небольшому количеству конфиденциальных данных при помощи приложения с запуском командной строки.
Максимальную же сумму в 1 млн долларов получит исследователь, который проведёт сетевую атаку без взаимодействия пользователя с выполнением кода ядра Zero-click с сохранением и обходом ядра PAC (надеюсь, я всё верно перевёл).
Все уязвимости распределены на пять категорий:
- iCloud;
- Атака на устройство с физическим доступом к нему;
- Атака на устройство через установленное пользователем приложение;
- Сетевая атака со взаимодействием пользователя;
- Сетевая атака без взаимодействия пользователя.
Также могут вознаградить исследователей, занимающихся изучением бета-версий операционных систем, но тут из-за специфики операционных систем выплата не будет превышать 50 % от назначенной суммы.
Какие требования?
Чтобы получить деньги, исследователь должен первым сообщить о найденной уязвимости в Apple Product Security. Также он должен предоставить чёткий отчёт об уязвимости и действующий эксплойт. Помимо этого, исследователь не должен публично заявлять об уязвимости, пока Apple не решит проблему.
