Исследователи, которые смогут выполнить все условия Apple, заработают до полутора миллионов долларов.
Корпорация Apple открыла свою программу по поиску уязвимостей для всех экспертов по безопасности. Специалисты, которые найдут баги в iPadOS, macOS, tvOS, watchOS и iCloud, смогут получить до полутора миллиона долларов.
Впервые о грядущем расширении Apple bug bounty стало известно на августовской конференции Black Hat в Лас-Вегасе, где соответствующий анонс сделал директор Apple по архитектуре и инжинирингу безопасности Айван Крштич (Ivan Krsti?). Ранее Apple сотрудничала лишь с ограниченным числом исследователей и платила только за информацию о проблемах iOS. Сумма вознаграждений также была скромнее — не более $200 тысяч.
Теперь у баг-хантеров появилось восемь возможностей перевалить за эту планку. Выплаты свыше $250 тыс. предусмотрены за демонстрацию возможности извлечь пользовательские и системные данные или выполнить сторонний код на уровне ядра. Миллион долларов получат специалисты, которые смогут без участия пользователя взять под полный контроль устройство Apple последнего поколения.
В своем заявлении представители Apple обозначили обязательные требования к отчетам о багах, которые могут сильно повлиять на объем выплат. Так, компания должна получить информацию первой, а экспертам запрещено публиковать уязвимость до того, как разработчики выпустят бюллетень.
Кроме того, исследователи должны подкрепить описание работающим эксплойтом и подробно расписать все условия, при которых можно провести атаку. Это правило касается и многоступенчатых сценариев — исследователям необходимо подготовить код для каждого шага подобной атаки. В отсутствие такого сопровождения сумма выплаты сокращается вдвое.
По словам комментаторов, новые условия могут показаться экспертам нелегкими, зато Apple сможет лучше контролировать влияние найденных уязвимостей. Разработчики смогут оценивать баги по примерам их практического применения, не теряя время на ошибки, не несущие реальной угрозы.
С другой стороны, корпорация готова выплачивать бонусы до 50% за уязвимости в бета-версиях продуктов и уже закрытые баги, которые вновь появились в свежих версиях. Эксперты отмечают, что Apple старается устранить максимум проблем до стадии производства и застраховаться от повторения августовской ситуации, когда из-за ошибки разработчиков в актуальную версию iOS попала уже исправленная уязвимость.
За последние годы поиск уязвимостей стал прибыльным ремеслом для многих ИБ-экспертов. По данным платформы HackerOne, такие специалисты зарабатывают в среднем в три раза больше, чем обычные разработчики. При этом в 2018 году исследователи получили вознаграждения примерно на такую же сумму, как за все время с 2012-го по 2017-й.
Программы bug bounty есть у многих крупных компаний, включая Facebook, Google, Mail.ru Group. Опыт сотрудничества с этичными хакерами получили даже американские военные ведомства — в 2016–2017 годах несколько багхантиговых акций позволили Пентагону закрыть тысячи уязвимостей.