Apple hiện sẽ trả cho các tin tặc tới 1 triệu đô la để báo cáo các lỗ hổng

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Chương trình tiền thưởng lỗi của Apple

Apple vừa cập nhật các quy tắc của chương trình tiền thưởng lỗi (bug bounty program) và đưa ra các thông báo về một vài thay đổi lớn trong cuộc họp giao ban tại hội nghị bảo mật thường niên Black Hat diễn ra mới đây.

Một trong những cập nhật hấp dẫn nhất là…

Apple sẽ tăng đáng kể mức tiền thưởng tối đa cho chương trình tiền thưởng lỗi của mình từ 200.000 đô la lên đến 1 triệu đô la. Đây là mức tiền thưởng lỗi cao nhất từ trước tới nay mà một công ty công nghệ cung cấp cho các ‘hacker mũ trắng’ để báo cáo về các lỗ hổng trong sản phẩm của mình.

Khoản thanh toán 1 triệu đô la sẽ được thưởng cho những phát hiện liên quan tới các khai thác cực kỳ nghiêm trọng, chẳng hạn như một lỗ hổng thực thi mã hạt nhân không cần nhấp chuột (a zero-click kernel code execution vulnerability), cho phép kiểm soát hoàn toàn, liên tục nhân của thiết bị.

Các phát hiện về những khai thác ít nghiêm trọng hơn sẽ nhận được các khoản thanh toán nhỏ hơn.

Còn điều gì nữa?

Từ giờ trở đi, chương trình tiền thưởng lỗi của Apple không chỉ áp dụng để tìm lỗ hổng bảo mật trong hệ điều hành di động iOS, mà còn bao gồm tất cả các hệ điều hành của công ty, bao gồm macOS, watchOS, tvOS, iPadOS và iCloud.

Chương trình tiền thưởng lỗi của Apple (2)

Kể từ khi thành lập vào khoảng ba năm trước, chương trình tiền thưởng lỗi của Apple chỉ áp dụng đối với các phát hiện lỗi trong hệ điều hành di động iOS. Quy định này sẽ tiếp tục được áp dụng cho đến khi chương trình mở rộng chính thức có hiệu lực vào mùa thu năm nay.

Bạn có phấn khích không? Một chiếc iPhone đặc biệt có thể thuộc về bạn …

Từ năm tới, Apple cũng sẽ cung cấp các thiết bị iPhone đã được bẻ khóa trước (pre-jailbroken iPhone) cho các nhà nghiên cứu bảo mật đáng tin cậy như là một phần của Chương trình Thiết bị Nghiên cứu Bảo mật iOS (iOS Security Research Device Program). Forbes là tờ báo đầu tiên đã đưa tin về chương trình mới này của Apple.  

Các thiết bị này sẽ có quyền truy cập sâu hơn nhiều so với các phiên bản iPhone có sẵn cho người dùng, bao gồm quyền truy cập vào ssh, root shell và khả năng gỡ lỗi nâng cao cho phép các nhà nghiên cứu tìm kiếm các lỗ hổng ở cấp độ secure shell (SSH).

Mặc dù bất cứ ai cũng có thể đăng ký để nhận một trong những chiếc iPhone đặc biệt này từ Apple, nhương đương nhiên là công ty sẽ chỉ trao một số lượng hạn chế các thiết bị này cho các nhà nghiên cứu có trình độ.

Vẫn chưa đủ hấp dẫn ư?

Chờ chút, vẫn còn các phần thưởng khác đang chờ đợi bạn…

Tiền thưởng cho các báo cáo lỗ hổng trong phiên bản beta

Ngoài phần thưởng tối đa là 1 triệu đô la, Apple cũng tặng 50% tiền thưởng cho các nhà nghiên cứu tìm thấy và báo cáo các lỗ hổng bảo mật trong phần mềm phát hành trước (phiên bản beta) trước khi phát hành công khai. Mức phần thưởng tối đa lên tới 1,5 triệu đô la.

Bạn có thể đăng ký vào chương trình bug bounty sửa đổi của Apple vào cuối năm nay. Chương trình này sẽ để mở cho tất cả các nhà nghiên cứu, thay vì một số lượng hạn chế các chuyên gia bảo mật được Apple phê duyệt như trước đây.

Sự mở rộng và tăng mạnh trong việc chi trả cho chương trình tiền thưởng lỗi của Apple nhiều khả năng sẽ nhận được sự hưởng ứng và phản hồi tích cực từ các nhà nghiên cứu bảo mật và thợ săn tiền thưởng.

Động thái này kỳ vọng sẽ giúp Apple hạn chế được số lượng lớn những lần bị tiết lộ công khai chi tiết lỗ hổng hoặc bị bán thông tin cho các nhà cung cấp tư nhân kinh doanh khai thác zero-day như Zerodium, CellebriteGrayshift.

THN