На проходящей сегодня конференции Black Hat, ежегодном мероприятии, предназначенном для мирового сообщества InfoSec, Иван Крстич, глава отдела безопасности инжиниринга Apple, объявил о запуске программы вознаграждений за поиск уязвимостей, в рамках которой Apple будет выплачивать деньги лицам, обнаружившим крупные ошибки и уязвимости в программном обеспечении компании.

Многие крупные технологические компании, такие как Google и Microsoft, предлагают программы вознаграждений за поиск уязвимостей, чтобы стимулировать людей обнаруживать и сообщать о серьезных уязвимостях, но до сих пор Apple отказывалась предоставлять аналогичную программу.

Согласно TechCrunch, новая программа Apple по вознаграждению за обнаружение ошибок является частью усилий Apple по открытию к хакерам, исследователям и криптографам, которые хотят помочь улучшить безопасность компании.

Apple будет предлагать вознаграждения в размере до 200 000 долларов исследователям, в зависимости от обнаруженной уязвимости. Компоненты прошивки безопасной загрузки будут приносить 200 000 долларов на верхнем уровне, в то время как за менее значительные уязвимости, такие как доступ из изолированного процесса к пользовательским данным вне изоляции, будет выплачиваться 25 000 долларов.

Хотя каждая категория уязвимостей имеет максимальную ставку, Apple будет определять точную сумму вознаграждения на основе нескольких факторов: ясность отчета об уязвимости; новизна проблемы и вероятность того, что она станет известна пользователям; а также степень необходимого взаимодействия с пользователем для эксплуатации уязвимости.

Apple планирует запустить свою новую программу вознаграждений за поиск уязвимостей в сентябре. Чтобы иметь право на получение вознаграждения в рамках программы, исследователи должны будут предоставить доказательство концепции на последних версиях iOS и новейшем оборудовании компании. Apple также будет поощрять исследователей жертвовать свои заработки на благотворительность и будет удваивать все пожертвования, полученные в рамках программы вознаграждений за поиск уязвимостей.

В настоящее время программа будет работать только по приглашениям и будет ограничена несколькими десятками исследователей. Apple планирует сделать ее более открытой по мере развития, и если нечлен программы обнаружит значительный сбой, он будет приглашен в программу.