TeamQuest Blog

Apple obejmie macOS-a programem bug bounty. Maksymalna nagroda to milion dolarów

Apple obejmie macOS-a programem bug bounty. Maksymalna nagroda to milion dolarów

Maciej Olanicki , 09.08.2019 r.

W połowie lipca Google wprowadziło spore zmiany do swojego programu bug bounty. Przede wszystkim podwyższono (niekiedy trzykrotnie) wysokośc nagród przyznawanych za odnalezione w Chrome, Androidzie czy Chrome OS-ie luki bezpieczeństwa, ale też utworzono nowe kategorie. Gorsze nie chce być Apple, które właśnie ogłosiło spore i od dawna wyczekiwane nowości we własnym programie bug bounty.

Nie będzie przesady w twierdzeniu, że osoby zajmujące się odnajdywaniem luk w oprogramowaniu czekały na ten moment od lat – Apple w końcu rozszerzyło program bug bounty na macOS-a. Aż dziw bierze, że przez całe dekady rozwój pecetowego systemu operacyjnego Apple przebiegał bez audytu bezpieczeństwa opartego na programie nagród pieniężnych. Mowa przecież o producencie sprzętu i oprogramowania, który w zeszłym roku sprzedał około 20 mln komputerów z macOS-em. To się jednak w końcu zmienia.

Być może nie bez wpływu było odnalezienie podatności KeySteal. Atak umożliwiał użytkownikowi z fizycznym dostępem i zalogowanym na konto użytkownika na kradzież haseł z Pęku kluczy w niezaszyfrowanej postaci. Sprawa skończyła się dla Apple słodko-gorzko. Z jednej strony autor zagwarantował, że nie sprzeda i nie opublikuje exploita podatności, z drugiej jednak odmówił współpracy z Apple tak długo, aż nie zostanie uruchomiony program bug bounty dla macOS-a.

Podczas trwającej w Las Vegas konferencji BlackHat zapowiedziało, że program bug bounty zostanie rozszerzony na macOS-a jeszcze w tym roku. Na razie nie są znane szczegóły – nie wiemy, jaką Apple gradację zagrożeń czy w końcu wysokości nagród za odnalezienie podatności. Znana jest jedynie nowa maksymalna nagroda, równa dla iOS-a i macOS-a: Apple zapłaci badaczom maksymalnie okrągły 1 mln dolarów.

Zobacz też: Google Project Zero odnalazło 6 luk w iOS-ie. Są warte miliony dolarów

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej