Apple Apple、Black Hat USA 2016でバグバウンティプログラムを開始

Appleはついにバグバウンティプログラムを手に入れました。

同社のセキュリティエンジニアリングとアーキテクチャの責任者であるIvan Krsticは、8月4日の夜にラスベガスで開催されるBlack Hat USA 2016ハッカー大会での珍しい一般公開の間、招待制プログラムを発表しました。

Krsticは、同社のチームが木曜日に発表した「iOSセキュリティの舞台裏」と題されたプレゼンテーションで特定されたバグに対して最大20万ドルを支払うと発表した。

補償はハッキングに依存します。サンドボックス化されたアプリデータへのアクセスは最大25,000ドルの価値がありますが、セキュアブートファームウェアコンポーネントの妥協は最大で200,000ドルに達する可能性があります。

セキュリティの脆弱性を密かに悪用するのではなく、その脆弱性を開示することに対して報いるハッカーは、ますます一般的になっています - UberからPentagonまでのすべての人がそうしています。

研究者ののれんに頼ることからバグ開示に対する報酬を提供することへのAppleの移行は、2015年のSan Bernardinoの撮影に関連したiPhone 5cのハックによって動機付けられているようです。 iPhoneに。

Black Hatの出席者Robert McCarthyツイート：

観客： 「FBI問題はあなたの立場にどれほど影響を与えましたか？」

Ivan Krstic： "私は技術的な質問に答えるためにここにいるエンジニアです"

Appleが事件の解決を拒んだときにまだ知られていない第三者にiPhoneのハッキングを支払ったFBIでさえ、そのデバイスがどのように侵害されたかは知らない。 FBIのJames Comey局長が約130万ドルであると主張したのは、実際のところ100万ドル未満であると主張した後の報告書で反論されているからである。

FBIがデバイス上で何かを見つけられなかったため、そのあいまいさはさらに懸念されます。これは、世界でも有​​数の法執行機関の1つが、未知のハックを実行するために未知の会社に未知の金額を提供したことを意味します - したがって、iPhone 5cを使用するすべての人が危険にさらされています。

バグ報奨金プログラムにより、アップルはこれらの変数のいくつかを排除し、製品の安全性を高めることができます。それでも、このプログラムが数十人の研究者で始まり、招待によってのみ拡大されることは奇妙なことです。バグ報奨金プログラムの目的は、通常、できる限り多くの人にさまざまなセキュリティ機能を回避させて、回避できることを確認させることです。

Appleは、時間が経つにつれてより多くの人々をプログラムに招待し、深刻な脆弱性を報告する人を他のチャネル経由で「招待する」ことを計画しているが、今のところAppleは単につま先をバグ賞金プールに浸しているようだ。それは会社の特徴であり、それはしばしば用心深いが、できるだけ早く報酬を争うことを望んだ誰にとっても失望させるであろう。

それでも、これはAppleにとって紛れもない進歩です。そもそもKrsticがBlack Hat USAのようなイベントに登場しました。 iOS 10カーネルを暗号化しないという決断のような他の変更と組み合わせると、San Bernardinoエピソードの遺産は、その製品を使用する多くの人々を少し安全に保つことができるように影から抜けて喜んでいるAppleになり得るようです。 。