Az Apple Apple Bug Bounty programot indít a Black Hat USA 2016-ban

Az Apple végül bogár-programja van.

A cég biztonsági mérnöki és építészeti vezetője, Ivan Krstic, a augusztus 4-i éjszaka alkalmából a Black Hat USA 2016-os hacker-egyezményben, a Vegas-i Black Hat USA 2016-os hacker-egyezményében jelent meg a meghívásos program.

Krstic, akinek a csapata felelős az összes Apple termék végső biztonságáért, azt mondta, hogy a vállalat 200 000 dollárt fog fizetni a csütörtökön megjelent előadásában, az „iOS Security kulisszái mögött”.

A kompenzáció a hack függvénye: a homokozóba ágyazott alkalmazásadatok elérése legfeljebb 25 000 dollárt ér, míg a biztonságos boot firmware-összetevők veszélyeztetése nettó 200 000 dollárt tesz ki.

Egyre gyakrabban jutottak el a hackereknek a biztonsági sebezhetőségek nyilvánosságra hozataláért való jutalmazása, ahelyett, hogy Ubertől a Pentagonig mindenkit megtudnának.

Az Apple elmozdulása a kutatók jószándékától a jutalmakért a hibajavításért való felajánlásra valószínűleg a 2015-ös San Bernardino felvételhez csatlakoztatott iPhone 5c-es hackelésre vezethető vissza. A nyilvánosság keveset tud a hackről és arról, hogy még mindig használható-e a töréshez egy iPhone-ba.

Black Hat résztvevő Robert McCarthy:

Közönség: „Mennyire befolyásolta az FBI-probléma a pozícióját?”

Ivan Krstic: „Itt vagyok mérnök, hogy válaszoljon a technikai kérdésekre”

Még az FBI, amely egy még ismeretlen harmadik személyt fizetett az iPhone-hoz, amikor az Apple megtagadta az ügyben való segítséget, nem tudja, hogy az eszköz hogyan sérült meg. Előfordulhat, hogy nem is tudja, hogy mennyire költséges a hack, mivel az FBI James Comey igazgatója azt állítja, hogy 1,3 millió dollárba kerül, és későbbi beszámolókkal, amelyek azt állították, hogy ténylegesen kevesebb, mint 1 millió dollárba kerülnek.

Ez a kétértelműség még inkább az, hogy az FBI nem talált semmit a készüléken. Ez azt jelenti, hogy a világ egyik legjelentősebb bűnüldöző szerve ismeretlen mennyiségű pénzt adott egy ismeretlen cégnek, hogy ismeretlen hacket hajtson végre - ez bizonyítja, hogy elvégezhető, és hogy mindenki iPhone 5c-vel veszélybe kerül - anélkül, hogy bármit kapnának.

A hiba bounty program lehetővé tenné az Apple számára, hogy megszüntesse néhány ilyen változót, és biztonságosabbá tegye termékeit. Mégis furcsa, hogy a program néhány tucat kutatóval kezdődik és csak meghívással bővül. A hiba bounty program lényege, hogy minél több embert érjen el a különböző biztonsági funkciók körül, hogy megtudja, mit tudnak dolgozni.

Az Apple azt állítja, hogy idővel több embert szeretne meghívni a programba, és „meghívni” azokat, akik más csatornákon keresztül jelentenek komoly sebezhetőséget, de most úgy tűnik, hogy az Apple csupán a lábujjait mártja a bogárcsomóba. Ez a vállalatra jellemző, ami gyakran óvatos, de valószínűleg elkeserítő lesz mindenkinek, aki a lehető leghamarabb szeretné a jutalmat szerezni.

Mégis, ez az Apple számára elképzelhetetlen előrelépés. Így volt Krstic először egy olyan eseményen, mint a Black Hat USA. Más változásokkal együtt, mint például az iOS 10 rendszermag titkosításának eldöntése, úgy tűnik, hogy a San Bernardino-epizód öröksége lehet egy olyan Apple, amely hajlandó kilépni az árnyékból, így megőrizheti a termékeit használó sok embert egy kicsit biztonságosabbá.