Apple har kunngjort utvidelsen av omfanget og utbetalingene av sitt sikkerhetspremieringsprogram. Etter at programmet først var invitert bare, oppfordrer det nå alle sikkerhetsforskere til å delta. Forskere som oppdager hittil ukjente utnyttelser i Apple-operativsystemer og -tjenester, kan dessuten tjene opptil 1,5 millioner dollar, et stort støt fra forrige $ 200 000-tak.
Tidligere i år snakket Apples sjef for sikkerhetsingeniør Ivan Krstić på Black Hat-konferansen i Las Vegas, Nevada for å skissere selskapets planer om å forbedre sikkerhetspremieringsprogrammet. Den gang bemerket Krstić at Apple ville utvide tilgangen og utbetalingen. Ved å utvide rekkevidden og utbetalingen av programmet, kan Apple bidra til å dempe sannsynligheten for at noen utnytter hvilke er oppdaget vil falle i gale hender.
For å være kvalifisert, må problemet være i den siste versjonen av Apples utgivelsesoperativsystemer med en standardkonfigurasjon og, hvor relevant, på offentlig tilgjengelig maskinvare. Forskere må være den første parten som rapporterer problemet til Apple Produktsikkerhet og må også oppfylle andre krav.
Bounties faller inn i fem brede kategorier: iCloud, enhetsangrep via fysisk tilgang, enhetsangrep via brukerinstallert app, nettverksangrep med brukerinteraksjon og nettverksangrep uten brukerinteraksjon, med maksimale utbetalinger fra $ 100 000 for en iCloud-utnyttelse til 1 million dollar for en "nullklikk kjøring av kjernekode med utholdenhet og PAC-bypass av kjerne."
En utbetaling på opptil 1,5 millioner dollar vil være mulig fordi Apple også tilbyr en 50% bonus for "problemer som er ukjent for Apple og er unike for utpekte utvikler-betas og offentlige betas, inkludert regresjoner."
Apple bemerket at i tillegg til den økonomiske belønningen, tilbyr den offentlig anerkjennelse til forskere som sender gyldige rapporter. Det vil også matche donasjoner av skjenkebetalingene det gjør til kvalifiserende veldedighetsorganisasjoner. Flere detaljer er tilgjengelige på Apples utviklerside.
Vil Apples mer sjenerøse vilkår hjelpe den til å stramme operativsystemets sikkerhet enda mer, eller tror du at dette er alt for utstilling? Lyd av i kommentarene.
