Apple представляет расширенную программу вознаграждений за обнаружение ошибок, которая охватывает macOS, tvOS, watchOS и iCloud, а также устройства iOS, объявил руководитель отдела безопасности Apple Иван Крстич сегодня днем на конференции Black Hat в Лас-Вегасе.

Apple запустила свою программу вознаграждений за обнаружение ошибок для устройств iOS в августе 2016 года, позволяя исследователям безопасности, которые обнаруживают ошибки в iOS, получать денежное вознаграждение за раскрытие уязвимости Apple. До этого момента устройства, отличные от iOS, не включались, что ранее критиковалось сообществом безопасности.

Отсутствие у Apple программы вознаграждений за обнаружение ошибок в macOS вызвало резонанс ранее в этом году, когда немецкий подросток первоначально отказался передать детали серьезной уязвимости безопасности в связке ключей macOS, поскольку Apple не предлагала за это вознаграждение. Хотя в итоге он предоставил информацию Apple, он сказал, что надеется, что его отказ вдохновит Apple расширить свою программу вознаграждений, что компания, собственно, и сделала.

С запуском новой программы вознаграждений за обнаружение ошибок в macOS, Apple открывает свои программы для всех исследователей позднее в этом году и увеличивает максимальный размер вознаграждения с 200 000 долларов США за эксплойт до 1 миллиона долларов США в зависимости от характера уязвимости. Успешное выполнение кода в ядре с возможностью сохранения данных без какого-либо взаимодействия с пользователем (zero-click) будет вознаграждено максимальной суммой.

Исследователи, обнаружившие уязвимости в предрелизном программном обеспечении до его общего выпуска, могут претендовать на бонусные выплаты до 50 процентов сверх базовой суммы вознаграждения за ошибку.

Как сообщалось ранее на этой неделе, Apple также планирует предоставить проверенным и надежным исследователям безопасности и хакерам специальные «dev» iPhone, то есть специальные iPhone, которые обеспечивают более глубокий доступ к базовому программному обеспечению и операционной системе, что облегчит обнаружение уязвимостей.

Apple предоставляет эти iPhone в рамках своей новой программы исследовательских устройств безопасности iOS, которая запускается в следующем году. Цель Apple в рамках этих новых усилий по вознаграждению за ошибки — поощрить больше исследователей безопасности раскрывать уязвимости, что в конечном итоге приведет к более безопасному использованию устройств потребителями.

(Спасибо, SecuritySteve!)