Apple Apple lanserar Bug Bounty Program på Black Hat USA 2016

$config[ads_kvadrat] not found

INTERVJU: Ivan Krstić - Istina o mom ujaku Stivu, prvom Pink Panteru i kralju Pariza! (4.9.2020)

INTERVJU: Ivan Krstić - Istina o mom ujaku Stivu, prvom Pink Panteru i kralju Pariza! (4.9.2020)
Anonim

Apple har äntligen ett program med buggar.

Företagets chef för säkerhetsteknik och arkitektur, Ivan Krstic, tillkännagav det inbjudan-bara programmet under ett sällsynt offentligt utseende på Black Hat USA 2016-hackerkonventionen i Las Vegas den 4 augusti.

Krstic, vars lag hanterar ansvaret för säkerheten för alla Apple-produkter, säger att företaget kommer att betala upp till $ 200 000 för fel som identifierades under sin presentation på torsdagen som heter "Bakom kulisserna i IOS Security."

Kompensation beror på hack: Att få tillgång till sandboxad appdata är värd upp till $ 25 000, samtidigt som det går att kompensera säker startkomponentkomponenter kan uppnå maximalt $ 200 000.

Att belöna hackare för att avslöja säkerhetsproblem i stället för att i hemlighet utnyttja dem har blivit allt vanligare - alla från Uber till Pentagon gör det.

Apples skift från att förlita sig på forskarnas godvilja för att erbjuda en belöning för insamling av buggar är sannolikt motiverad av hack av en iPhone 5c som är kopplad till San Bernardino-skytte år 2015. Offentligheten vet lite om hacken och om det fortfarande kan användas för att bryta till en iPhone.

Black Hat deltagare Robert McCarthy Tweeted:

Publik: "Hur mycket påverkade FBI din position?"

Ivan Krstic: "Jag är ingenjör här för att svara på tekniska frågor"

Även FBI, som betalade en fortfarande okänd tredje part för att hacka iPhone när Apple vägrade hjälpa till i fallet, vet inte hur enheten skadades. Det kanske inte ens vet hur mycket hacket verkligen kostar, eftersom FBI-direktören James Comeys påstående att det kostar omkring 1,3 miljoner dollar, motsattes av senare rapporter som hävdade att det faktiskt kostar mindre än 1 miljon dollar.

Den tvetydigheten är ännu mer relaterad till att FBI inte hittade någonting på enheten. Det betyder att en av världens främsta brottsbekämpande myndigheter gav en okänd summa pengar till ett okänt företag för att utföra ett okänt hack - vilket visar att det kan bli gjort och att alla med en iPhone 5c är i fara - utan att få någonting i gengäld.

Ett program med buggar kan göra att Apple kan eliminera några av dessa variabler och göra sina produkter säkrare. Ändå är det konstigt att programmet börjar med några dussin forskare och utökas endast genom inbjudan. Poängen med ett bug-bounty-program är vanligtvis att få så många som möjligt att peka på olika säkerhetsfunktioner för att se vad de kan arbeta runt.

Apple planerar att bjuda in fler människor till programmet när tiden går och att "bjuda in" alla som rapporterar en allvarlig sårbarhet via andra kanaler, men för närvarande verkar det som om Apple bara döper tårna i bug-bounty-poolen. Det är karaktäristiskt för företaget, vilket ofta är försiktigt men kommer sannolikt att vara nedslående för alla som vill satsa på belöningarna så snart som möjligt.

Ändå är detta otvetydiga framsteg för Apple. Så var Krstic också på en händelse som Black Hat USA i första hand. Kombinerade med andra förändringar, som beslutet att inte kryptera iOS 10-kärnan, verkar det som om San Bernardino-episodens arv kan vara en Apple som är villig att gå ut ur skuggorna så att den kan hålla många människor som använder sina produkter lite säkrare.

$config[ads_kvadrat] not found