Аррlе сделала шаг навстречу хакерам. Они будут полезнее собственных сотрудников
Компания Apple открыла программу Bug Bounty для устранения ошибок в коде в своих программах и приложениях. Поучаствовать в поиске багов может любой желающий — для этого нужно предоставить компании детальное описание проблемы. В качестве вознаграждения Apple обещает миллион долларов. Как работает схема Bug Bounty и насколько реально получить миллион от самой раскрученной компании в мире, — в материале «360».
Впервые программу Bug Bounty Apple запустили еще в 2016 году, теперь же она включает в себя не только операционные системы iOS, но и iCloud, iPadOS, macOS, tvOS и watchOS. Основная цель — привлечь пользователя к усовершенствованию продукта. Сегодня к такому способу проверять свои системы прибегают многие компании, прежде всего, Google.
IT-специалист, пожелавший сохранить анонимность, сообщил «360» о том, что эффективность обычных внутренних проверок компании не может сравниться с эффективностью разбросанных по миру сотен энтузиастов. Тем более, что за обнаружение багов полагается награда.
Генеральный директор и основатель компании по разработке мобильных приложений Reactive Phone Solutions Иван Семенов объясни «360», что окончательно открытие программы коллективного устранения ошибок соответствует концепции Apple — компания всегда делала упор на безопасность и конфиденциальность, в которых не единожды за год пользователям пришлось усомниться.
Теперь у хакеров и взломщиков, занимающихся этим забавы ради есть стимул получше интереса, который наверняка заставит при обнаружении ошибки сначала сообщить компании, а потом уже всему интернету. «Если человек сам за безопасность и хочет, чтобы сервисы становились лучше, то он сам, в первую очередь, пишет компании, чтобы закрыли [найденную им] дыру. А если еще и есть призовая составляющая, то это, конечно, плюс», — сказал Семенов.
Для ошибок разной сложности в Apple составили целый прейскурант. Например, обход экрана блокировки устройства принесет счастливчику от 20 до 100 тысяч долларов, столько же дадут за несанкционированный доступ к iCloud. А вот извлечение конфиденциальных данных из заблокированного устройства будет стоить уже от 100 до 250 тысяч долларов. Еще 50 процентов компания обещает добавить тем, кто сможет обнаружить ошибки в бета-версиях. Самыми прибыльными для хакеров ошибками станут те, которые производят атаки, захватывающие устройство без каких-либо действий со стороны пользователя. Требования для получения награды — миллиона долларов — строгие: нужно предоставить цепь уязвимостей вместе с отчетом.
Правда найти ошибку на миллион долларов может оказаться непросто — собеседники «360» подчеркнули, что сейчас уровень безопасности систем компании значительно выше чем раньше и, скорее всего, для обнаружения ошибки понадобится не только смекалка и внимательность, но и некоторая доля везения.
Причиной же расширения программы Bug Bounty и ее новой политики открытости могут быть многочисленные проблемы с программным обеспечением iOS 13, которое показало недостатки в безопасности системы. К выходу нового iOS 14 в 2020 году Apple решила изменить способ тестирования программного обеспечения, чтобы оно в большей степени соответствовало тому, как Google, Microsoft и другие гиганты медиарынка изолируют и тестируют изменения в своем программном обеспечении.