Программа вознаграждения за обнаружение ошибок, о которой Apple говорила еще в августе этого года, теперь официально открыта для всех. Ранее это был закрытый проект, участие в котором можно было принять только по приглашениям, что вызывало ряд критики со стороны простых пользователей. Помимо этого, многие просто продавали информацию об обнаруженных уязвимостях сторонним компаниям, которые использовали ее в своих целях. Многие участники программы обнаружения ошибок ранее жаловались на низкие суммы вознаграждений — это также толкало их на сотрудничество с компаниями-конкурентами.
Чтобы пользователь получил свое вознаграждение, найденная им проблема должна касаться устройств, работающих на последних версиях iOS, iPadOS, macOS, tvOS или watchOS. Таким образом, Apple сможет быстро устранять ошибки, выпуская новые обновления безопасности. Помимо этого исследователи должны выполнить определенные действия для того, чтобы их заявку приняли во внимание.
Требования к желающим получить вознаграждение:
- Быть первым сообщившим о конкретной проблеме в Apple Product Security.
- Предоставить подробный отчет о том, как была обнаружена уязвимость.
- Не раскрывать никакую информацию публично до тех пор, пока Apple не возьмется за решение вопроса.
Некоторые проблемы могут касаться только бета-версий системы, в таком случае исследователи получат только половину вознаграждения. Суммы варьируются от 100 тысяч долларов (уязвимости iCloud, обход блокировки экрана) до 1,5 миллионов (выполнение кода ядра с нулевым запросом и предоставление рабочего эксплойта). Целью этой программы Apple называет защиту клиентов, понимание уязвимостей и методов их эксплуатации.
Вот полный список характера уязвимостей и вознаграждения за них:
- Несанкционированный доступ к данным учетной записи iCloud на серверах Apple — 100 000 долларов.
- Атака устройства через обход экрана блокировки — 100 000 долларов.
- Извлечение пользовательских данных — 250 000 долларов.
- Атака устройства с помощью установленного пользователем приложения — 100 000 долларов.
- Выполнение кода ядра — 150 000 долларов.
- Атака центрального процессора — 250 000 долларов.
- Несанкционированный доступ к конфиденциальным данным в один клик — 150 000 долларов.
- Выполнение кода ядра в один клик — 250 000 долларов.
- Сетевая атака без взаимодействия с пользователем — 250 000 долларов.
- Несанкционированный доступ к конфиденциальным данным с нулевым щелчком — 500 000 долларов.
- Выполнение кода ядра с нулевым запросом — 1 000 000 долларов (плюс бонус в виде 50% от суммы за предоставление рабочего эксплойта).
