Apple استفاد من اليوم الأخير من المؤتمر قبعة سوداءللحديث بعمق عن خيارات أمان iOS 13 و macOS، مثل وظيفة Find My في كلا نظامي التشغيل ، مما يساعد على تحديد موقع جهاز الكمبيوتر بمساعدة الأجهزة Apple في مكان قريب.
خلال هذا الحديث ، إيفان كرستيتش ، رئيس الهندسة والعمارة الأمنية في Appleوذكر بعض الشخصيات المثيرة للاهتمام من برنامج المكافآت التكنولوجيا لأولئك الذين يجدون الثغرات الأمنية في خدماتهم المختلفة.
تم توسيع البرنامج ليشمل جميع المنصات ، بما في ذلك tvOS و macOS. Apple أعلن ذلك سوف تدفع ما يصل إلى مليون دولار عن الضعف الأكثر أهمية، والتي تنطوي على تنفيذ التعليمات البرمجية دون تدخل المستخدم.
كم تدفع Apple للإبلاغ عن العيوب الأمنية؟
وصول غير مصرح به إلى بيانات حساب iCloud على الخوادم Apple | 100000 دولار | |
هجوم الوصول المادي | فتح الشاشة استخراج بيانات المستخدم | 100،000 دولار 250،000 دولار |
الهجوم من خلال تطبيق مثبت بواسطة المستخدم | وصول غير مصرح به إلى بيانات المستخدم عالية القيمة هجوم قناة الجانب نواة وحدة المعالجة المركزية هجوم على بيانات المستخدم عالية القيمة | 100،000 دولار 150،000 دولار 250،000 دولار |
هجوم الشبكة الذي يتطلب تفاعل المستخدم | وصول غير مصرح به إلى بيانات المستخدم عالية القيمة بنقرة واحدة تنفيذ تعليمات برمجية Kernel بنقرة واحدة | 150،000 دولار 250،000 دولار |
هجوم الشبكة دون تدخل المستخدم | الراديو إلى النواة مع القرب المادي (بدون نقرة) الوصول إلى بيانات المستخدم عالية القيمة (بدون نقرة) | 250،000 دولار 500،000 دولار1،000،000 دولار |
50 نقاط ضعف عالية التأثير في ثلاث سنوات
وفقًا لكرستيتش ، فقد حصلوا على 50 نقطة ضعف عالية التأثير منذ عام 2016. كشف فريق أمان Google Project Zero مؤخرًا ستة عيوب أمنية خطيرة في دائرة الرقابة الداخلية، في الغالب حلها من قبل Apple، والتي هي في أعلى فئة في المكافآت.
اثنين من المهندسين مشروع صفر جعلوا النتائج العامة، على الرغم من أنه تم حفظ تفاصيل واحد لأنه لم يتم حلها بالكامل في iOS 12.4. وفي مواجهة هذه الحركة ، أشارت بعض الشركات التي تقدم أيضًا مكافآت أمنية إلى ذلك هؤلاء يستغل يمكن أن يقتبس ما بين 2 و 4 ملايين دولار، لأنها تحظى بشعبية كبيرة بين المهاجمين لأنه يمكنهم اختراق جهاز iPhone دون أن يلاحظ المستخدم ذلك.