Như Apple đã hứa vào tháng 8 năm nay, công ty hôm nay cuối cùng đã mở chương trình tiền thưởng lỗi cho tất cả các nhà nghiên cứu bảo mật, cung cấp phần thưởng bằng tiền cho bất kỳ ai để báo cáo các lỗ hổng trong iOS, macOS, watchOS, tvOS, iPadOS và iCloud cho công ty.
Kể từ khi ra mắt ba năm trước, chương trình tiền thưởng lỗi của Apple chỉ mở cho các nhà nghiên cứu bảo mật được chọn dựa trên lời mời và chỉ được thưởng khi báo cáo các lỗ hổng trong hệ điều hành di động iOS.
Tuy nhiên, phát biểu tại một hội nghị hack vào tháng 8 năm nay, Ivan Krstić, người đứng đầu Apple Security Engineering and Architecture tại Apple, đã công bố chương trình tiền thưởng lỗi mở rộng sắp tới của công ty bao gồm ba điểm nổi bật chính:
- Tăng lớn trong phần thưởng tối đa từ 200.000 đô la đến 1,5 triệu đô la,
- Chấp nhận báo cáo lỗi cho tất cả các hệ điều hành và phần cứng mới nhất của nó,
- Mở chương trình cho tất cả các nhà nghiên cứu.
Bắt đầu từ hôm nay, tất cả các nhà nghiên cứu bảo mật và tin tặc đều đủ điều kiện nhận khoản thanh toán tiền mặt để tìm và tiết lộ một cách có trách nhiệm lỗ hổng bảo mật hợp lệ trong “các phiên bản công khai mới nhất của iOS, iPadOS, macOS, tvOS hoặc watchOS với cấu hình tiêu chuẩn”. Giống như lần đầu tiên được Krstić công bố trên Twitter .
Ngay cả sau khi gửi lỗi bảo mật hợp lệ, các nhà nghiên cứu cần tuân theo một số quy tắc đủ điều kiện cơ bản để nhận phần thưởng, bao gồm báo cáo chi tiết trực tiếp cho nhóm bảo mật của Apple mà không tiết lộ bất cứ điều gì cho công chúng cho đến khi công ty phát hành bản vá và cung cấp báo cáo rõ ràng với một báo cáo rõ ràng.
Như được liệt kê trong biểu đồ thanh toán tiền thưởng lỗi ở trên, 1 triệu đô la sẽ chỉ được trao cho những người gửi lỗi khai thác thực thi mã trong nhân kernel khiến không thể nhấp chuột nghiêm trọng có thể cho phép kiểm soát hoàn toàn, liên tục thiết bị được nhắm mục tiêu.
Còn gì nữa không Ngoài phần thưởng tối đa là 1 triệu đô la, Apple cũng sẽ tặng 50% tiền thưởng cho những người tìm thấy và báo cáo các lỗ hổng trong phần mềm phát hành trước (phiên bản beta) trước khi phát hành công khai, đưa phần thưởng tối đa lên tới 1,5 triệu đô la.
Bên cạnh đó, Apple hiện cũng sẽ trả thêm 50% tiền thưởng cho số tiền thưởng đủ điều kiện để báo cáo lỗ hổng ‘hồi quy’ mà công ty đã vá trong các phiên bản trước của phần mềm/
Chương trình Apple Security Bounty nhằm mục đích cũng khuyến khích các tin tặc tiết lộ công khai các lỗ hổng bảo mật mà chúng phát hiện trong các sản phẩm của Apple hoặc bán cho các nhà cung cấp tư nhân như Zerodium , Cellebritevà Grayshift , người liên quan đến khai thác zero day.