Aplle Ödüllü Açık Bulma Programını Tüm Araştırmacılara Açtı

apple-açık-bulma-programı



Apple'ın bu yıl Ağustos ayında vaat ettiği gibi  bugün nihayet hata güvenlik programını tüm güvenlik araştırmacılarına açtı ve iOS, macOS, watchOS, tvOS, iPadOS ve iCloud'daki güvenlik açıklarını şirkete bildirdiği için herkese para ödülleri sunuyor.


Üç yıl önce başlatıldığından beri Apple'ın hata ödül programı, davete dayalı olarak yalnızca seçilen güvenlik araştırmacılarına açıktı ve yalnızca iOS mobil işletim sistemindeki güvenlik açıklarını bildirdiği için ödüllendirildi.


Ancak, bu yılın Ağustos ayında düzenlenen bir bilgisayar korsanlığı konferansında konuşan Apple, Apple Güvenlik Mühendisliği ve Mimarisi başkanı Ivan Krstić, şirketin üç ana vurgu içeren yaklaşan genişletilmiş hata ödül programını açıkladı:



  • Maksimum ödülde muazzam bir artış 200.000 $ 'dan 1.5 milyon $' a,
  • Tüm işletim sistemleri ve en son donanımları için hata raporlarını kabul etmek,
  • Programın tüm araştırmacılar için açılması.


Şu andan itibaren, tüm güvenlik araştırmacıları ve bilgisayar korsanları, "iOS, iPadOS, macOS, tvOS veya standart yapılandırmaya sahip en son halka açık sürümlerde" geçerli bir güvenlik açığı bulmak ve sorumlu bir şekilde ifşa etmek için nakit ödeme almaya hak kazanmaktadır. ilk olarak Krstić tarafından Twitter'da duyuruldu.




apple-ödül-programı



Geçerli bir güvenlik hatası gönderdikten sonra bile, araştırmacıların ödül almak için bazı temel uygunluk kurallarına uymaları gerekir; Bu, şirket bir yama yayınlayana ve bir çalışma ile net bir rapor sunana kadar halka hiçbir şey açıklamadan doğrudan Apple güvenlik ekibine raporlama ayrıntılarını içerir.


Yukarıdaki hata ödemesi şemasında gösterildiği gibi, 1 milyon dolar yalnızca hedeflenen bir cihazın tam ve kalıcı kontrolünü mümkün kılabilecek ölümcül  çekirdek kodu yürütmeyi istismar edenlere verilecek.


Daha ne mi var? Apple, 1 milyon dolarlık maksimum ödülünün yanı sıra, yayın öncesi yazılımında (beta sürümü) güvenlik açıklarını bulup bildirenlere % 50 bonus sunacak ve bu da maksimum ödülünü 1,5 milyon dolara çıkaracak.


Bunun yanı sıra, Önceki sürümlerde yamalanan, ancak bir geliştirici'nin beta sürümünde veya herkese açık beta sürümünde 'yanlışlıkla' yeniden tanıttığı bir 'regresyon' güvenlik açığını bildirmesi halinde uygun ödül tutarına% 50 ek bonus ödeyecek.


Apple Security Bounty programı, Apple ürünlerinde keşfettikleri güvenlik açıklarını kamuya açıklayan veya sıfır günlük istismarlarla uğraşan Zerodium, Cellebrite ve Grayshift gibi özel satıcılara satan bilgisayar korsanlarını da teşvik etmeyi amaçlıyor.

thehackersnews'dan alıntıdır.

Hiç yorum yok: