Безопасность — один из главных факторов, над которым постоянно работает Apple. По крайней мере, нам заявляют об этом. Но вот какая проблема: нет программы поддержки сторонних специалистов по безопасности.
Как сообщает Forbes со ссылкой на собственные источники, в четверг на конференции по безопасности Black Hat в Лас-Вегасе Apple объявит о создании такой программы. По крайней мере, некоторым специалистам по кибербезопасности раздадут специальные версии айфонов. И вроде бы это будут смартфоны для разработчиков.
«Белых» хакеров (изучающих системы на наличие ошибок и уязвимостей) будут отбирать внутри компании. Так специалисты по безопасности смогут исследовать разные части iOS, что невозможно сделать с коммерческим устройством. Также с подключением специальных устройств они смогут остановить процессор и исследовать память на наличие ошибок. Таким образом, как рассказывают источники Forbes, можно исследовать, что происходит с кодом iOS, когда «ось» атакуют.
При этом компания вряд ли даст полный доступ к айфону. Эти устройства будут чем-то средним между пользовательским заблокированным смартфоном, который можно купить в обычном магазине, и версией для разработчиков Apple.
Также компания объявит, что будет выплачивать за найденные уязвимости до 200 тысяч долларов. Для самой Apple деньги не такие большие, но безопасность устройств должна быть значительно повышена.
А вот как поступит Apple с аналогичными специалистами, работающими над macOS, пока не очень понятно. Например, в феврале юный Линус Хенце обнаружил критическую ошибку в macOS. Она позволяла следить за паролями. В теории злоумышленники могли получить доступ к аккаунтам любого сервиса, включая связки логинов/паролей банковских сайтов пользователей. При этом Линус отказался предоставлять Apple информацию об ошибке, поскольку у компании нет программы вознаграждения специалистов по безопасности.
В конечном итоге мы получим в большей степени безопасные продукты Apple. Это станет не только победой для Apple, но и огромной выгодой для клиентов компании.
Главный исследователь безопасности в Jamf
И это вполне закономерно: специалисты по безопасности тратят кучу времени на исследование продуктов, досконально изучая код и различные сценарии его использования. Это не работа пяти минут. И почему бы их не вознаградить за действительно полезный труд? Ведь всем хочется кушать.
Если компания не может оплатить труд человека, то логично предположить, что он пойдёт туда, где заплатят. И тут «белый» хакер вполне может окраситься в более тёмные цвета. Так что, полагаю, Apple стоит обеспокоиться более близким контактом со сторонними специалистами по безопасности.
