バグバウンティプログラムを開始

Appleは、すべてのオペレーティングシステムをカバーするためのバグバウンティプログラムを開始します

同社は、iOSの問題に対する現在の支払いとともに、macOS、watchOS、tvOS、iPadOS、およびiCloudのバグを発見した研究者に報酬を支払うスキームを拡大および改善しています。また、特定の研究者が脆弱性を表面化するのに役立つ特別なiPhoneも新しくなりました

Appleのセキュリティエンジニアリングおよびアーキテクチャの責任者であるIvan Krstic氏がBlack Hatカンファレンスで発表したバグバウンティシステムは、Appleの他のオペレーティングシステムをカバーするように拡張されました

Appleは、macOSで見つかった脆弱性を開示するセキュリティ研究者に提供される支払いのレベルを初めて定義します

同様のスキームは、watchOSやtvOSなどの他のプラットフォームでも作成されます

報奨金には、iPadOS、iOSの派生物、iCloudの問題も含まれます

Payouts
+ 50% bonus for bugs in prerelease builds pic.twitter.com/eGHoTUAb4Y

— Jesse D'Aguanno (@0x30n) August 8, 2019

カンファレンス中に、Apple は問題を見つけるための最大の支払いのリストを提供し、攻撃の難易度を示しました

iOSの最大支払いスケールの下限には、Appleサーバー上のiCloudアカウントデータへの不正アクセス、物理アクセスを使用したロックスクリーンバイパス、ユーザーがインストールしたアプリを使用した価値の高いユーザーデータへの不正アクセスなどがあります、ファインダーは最大で100,000ドルです

ユーザーの操作なしにネットワーク上の価値の高いユーザー データにゼロクリックでアクセスできる脆弱性は、最大 500,000 ドルの支払いを提供します

リストの一番上には、ユーザーの操作なしで実行できるフルチェーンカーネルコード実行攻撃があり、最大100万ドルを支払うことができます

さらに、一般公開に先立って Apple に報告されているプレリリース ベータ ビルドの脆弱性を発見した場合、最大 50% のボーナスを獲得できます

プレリリースボーナスで最大150万ドルの収益を上げ、バグバウンティはAppleの支払いにおいてかなりのステップアップで、以前は可能な最大支払額は 200,000ドルでした

セキュリティ研究者は、今年後半にバグバウンティを申請することができます

このプログラムは、Appleによって承認されたセキュリティ専門家の限られた数ではなく、この秋にすべての研究者に公開されます

(Via appleinsider.)