W połowie lipca Google wprowadziło spore zmiany do swojego programu bug bounty. Przede wszystkim podwyższono (niekiedy trzykrotnie) wysokośc nagród przyznawanych za odnalezione w Chrome, Androidzie czy Chrome OS-ie luki bezpieczeństwa, ale też utworzono nowe kategorie. Gorsze nie chce być Apple, które właśnie ogłosiło spore i od dawna wyczekiwane nowości we własnym programie bug bounty.

Nie będzie przesady w twierdzeniu, że osoby zajmujące się odnajdywaniem luk w oprogramowaniu czekały na ten moment od lat – Apple w końcu rozszerzyło program bug bounty na macOS-a. Aż dziw bierze, że przez całe dekady rozwój pecetowego systemu operacyjnego Apple przebiegał bez audytu bezpieczeństwa opartego na programie nagród pieniężnych. Mowa przecież o producencie sprzętu i oprogramowania, który w zeszłym roku sprzedał około 20 mln komputerów z macOS-em. To się jednak w końcu zmienia.

Być może nie bez wpływu było odnalezienie podatności KeySteal. Atak umożliwiał użytkownikowi z fizycznym dostępem i zalogowanym na konto użytkownika na kradzież haseł z Pęku kluczy w niezaszyfrowanej postaci. Sprawa skończyła się dla Apple słodko-gorzko. Z jednej strony autor zagwarantował, że nie sprzeda i nie opublikuje exploita podatności, z drugiej jednak odmówił współpracy z Apple tak długo, aż nie zostanie uruchomiony program bug bounty dla macOS-a.

Podczas trwającej w Las Vegas konferencji BlackHat zapowiedziało, że program bug bounty zostanie rozszerzony na macOS-a jeszcze w tym roku. Na razie nie są znane szczegóły – nie wiemy, jaką Apple gradację zagrożeń czy w końcu wysokości nagród za odnalezienie podatności. Znana jest jedynie nowa maksymalna nagroda, równa dla iOS-a i macOS-a: Apple zapłaci badaczom maksymalnie okrągły 1 mln dolarów.

Zobacz też: Google Project Zero odnalazło 6 luk w iOS-ie. Są warte miliony dolarów