Apple palielina atalgojumu par drošības kļūdu atrašanu līdz 5 miljoniem dolāru — Lente.lv

Apple ievērojami palielina atalgojumu par kiberdrošības kļūdu atrašanu

Tehnoloģiju gigants Apple ir veicis nozīmīgus uzlabojumus savā programmatūras drošības vājumu meklēšanas un atlīdzības programmā Apple Security Bounty. Sākotnēji uzsākta 2020. gadā, programma jau veiksmīgi atalgojusi vairāk nekā 800 drošības pētnieku ar kopējo summu, kas pārsniedz 35 miljonus ASV dolāru. Tagad Apple ir gatavs vēl dāsnāk atalgot speciālistus par kritisku kļūdu atklāšanu savās sistēmās, palielinot potenciālo atlīdzību līdz pat 5 miljoniem ASV dolāru.

Jauni bonusi par ekskluzīvu kļūdu meklēšanu

Apple savā oficiālajā emuārā ir detalizēti izklāstījis jauninājumus, kas paredz divkāršot maksimālo atlīdzības summu līdz 2 miljoniem ASV dolāru. Šī summa paredzēta par tā dēvēto „eksploitu ķēžu” atrašanu – sarežģītu uzbrukumu secību, kas varētu nodrošināt piekļuvi, kas pielīdzināma valsts līmeņa kiberspiegu izmantotajām metodēm. Turklāt, par atsevišķu aizsardzības mehānismu apzinātu apišanu, piemēram, drošības režīma Lockdown Mode nepilnību atklāšanu vai kļūdu beta versijās, var saņemt papildu bonusus, kas kopā var sasniegt pat iespaidīgo 5 miljonu dolāru slieksni.

Konkrēti atalgojuma piemēri un apraksti

Programma tagad piedāvā ļoti specifiskus atalgojuma līmeņus par atklātajām vājībām. Piemēram, par pilnīgu Gatekeeper aizsardzības apišanu operētājsistēmā macOS, kas ļauj kaitīgam kodam darboties bez drošības pārbaudēm, tiek piedāvāti 100 000 ASV dolāru. Lai iegūtu plašu un neatļautu piekļuvi iCloud, pētnieki var nopelnīt 1 miljonu ASV dolāru. Interesants jaunums ir kategorija „one-click WebKit sandbox escapes” jeb viena klikšķa aizbēgšanas no WebKit smilšu kastes, kas ir ļoti bīstamas vājības, jo ļauj apiet Safari pārlūkprogrammas drošību ar minimālu piepūli – par šādām kļūdām Apple gatavs maksāt līdz pat 300 000 ASV dolāru. Tāpat tiek piedāvāts 1 miljons ASV dolāru par jebkāda veida bezvadu tuvuma (wireless proximity) eksplota atklāšanu, neatkarīgi no izmantotā radio moduļa.

Kā jauninājumi stiprina Apple ekosistēmu

Šie paplašinātie drošības pasākumi ir cieši saistīti ar Apple centieniem pastāvīgi uzlabot savu produktu drošību. Lockdown Mode ir viens no acīmredzamiem piemēriem, kas minimizē potenciālās uzbrukumu virsmas, bloķējot failu pielikumus, saistību priekšskatījumus un tīmekļa skriptus. Safari pārlūkprogrammas drošības arhitektūras uzlabojumi arī apgrūtina drošības kļūdu izmantošanu. Ieviešot Memory Integrity Enforcement, kas ir aparatūras līmeņa aizsardzība pret atmiņas bojājumiem jaunākajos čipos, Apple demonstrē savu nelokāmo apņemšanos aizsargāt lietotāju datus. Kompānija uzsver, ka pēc šiem uzlabojumiem sistēmas uzbrukumi iOS ierīcēm joprojām ir iespējami tikai ar ārkārtīgi sarežģītu un dārgu spiegu programmatūru, kas parasti tiek vērsta pret ļoti šauru personu loku. Šis solis izceļas pretstatā citu tehnoloģiju gigantu, piemēram, Microsoft, mazākajiem atalgojumiem par līdzīgām kļūdām.