Apple отдаст 1 млн долларов исследователям безопасности

Компания сформировала прайс по выплатам за обнаружение уязвимостей в собственных сервисах и устройствах.

Прототип iPhone, используемый для взлома устройств. Фото: Джулио Зомпетти

Компания Apple рассказала, что сколько будет платить исследователям безопасности за обнаружение уязвимостей в сервисах и устройствах. Теперь этому посвящена страница на специальном сайте Apple Developer.

Что произошло?

В августе 2019 года на конференции Black Hat представитель Apple объявил, что компания включит в свою программу вознаграждения за обнаружение уязвимостей в сервисах и во всех устройствах. Ранее она действовала только на iPhone:

Сейчас же компания, наконец, сформировала полный прайс.

Что почём?

Минимальная сумма вознаграждения составляет 25 тысяч долларов. Максимальная — 1 млн долларов.

25 тысяч долларов получит исследователь безопасности, который смог:

  • Получить ограниченный несанкционированный доступ к учётной записи iCloud;
  • Или получить доступ к конфиденциальной информации на экране блокировке;
  • Или доступ к небольшому количеству конфиденциальных данных при помощи приложения с запуском командной строки.

Максимальную же сумму в 1 млн долларов получит исследователь, который проведёт сетевую атаку без взаимодействия пользователя с выполнением кода ядра Zero-click с сохранением и обходом ядра PAC (надеюсь, я всё верно перевёл).

Все уязвимости распределены на пять категорий:

  • iCloud;
  • Атака на устройство с физическим доступом к нему;
  • Атака на устройство через установленное пользователем приложение;
  • Сетевая атака со взаимодействием пользователя;
  • Сетевая атака без взаимодействия пользователя.

Также могут вознаградить исследователей, занимающихся изучением бета-версий операционных систем, но тут из-за специфики операционных систем выплата не будет превышать 50 % от назначенной суммы.

Какие требования?

Чтобы получить деньги, исследователь должен первым сообщить о найденной уязвимости в Apple Product Security. Также он должен предоставить чёткий отчёт об уязвимости и действующий эксплойт. Помимо этого, исследователь не должен публично заявлять об уязвимости, пока Apple не решит проблему.

Предложения магазинов