За iOS9 призначена найбільша в історії винагорода за виправлення помилок: 1 мільйон доларів

Перед спільнотою інформаційної безпеки постало нове величезне завдання – так звана “баг-баунті” – грошова винагорода за виявлення вразливостей. Для дослідників отримання таких призів може бути як прибутковим, так і предметом гордості. Цього тижня найбільша в історії нагорода за баг-баунті в розмірі 1 мільйона доларів США спонукала дослідників безпеки до перегонів за право бути першими. Метою є iOS 9, а завдання передбачає незв’язаний джейлбрейк операційної системи на основі браузера.

Попередні програми з виявлення багів передбачали виплату винагороди в сотні або навіть тисячі доларів, а в кількох випадках – близько ста тисяч доларів. Але мільйон баксів? На це можна купити багато 10-годинних енергетичних напоїв.

Компанія, що стоїть за цією винагородою, відома як Zerodium. Стартап позиціонує себе як програму з пошуку вразливостей і експлойтів нульового дня, а це означає, що перебування на передньому краї вразливостей є критично важливим для його бізнес-моделі. Компанія повідомляє клієнтам інформацію про безпеку, яку вона збирає від незалежних дослідників, через стрічку новин про дослідження безпеки. Ця інформація включає аналіз, документацію та заходи захисту.

• Ця прихована функція iOS 16 перетворила мій iPhone на ідеальний гаджет для пошуку музики
• Секрет допомоги літнім людям виходити в Інтернет прямо перед нами
• На дворі 2022 рік, а кастомізація мого iPhone все ще жахлива

Винагороди за виправлення помилок стали популярним способом виявлення вразливостей у спільноті безпеки. Це спосіб прискорити виявлення недоліків безпеки до того, як вони з’являться у відкритому доступі. Zerodium готова виплатити в цілому до 3 мільйонів доларів США в якості призів за різні експлойти, згідно з деталями конкурсу, описаними на веб-сторінці компанії:

Million Dollar iOS 9 Bug Bounty призначений для досвідчених дослідників безпеки, реверс-інженерів і розробників джейлбрейків, і є пропозицією ZERODIUM виплатити в цілому три мільйони доларів США ($3 000 000,00) в якості винагороди за експлойти / джейлбрейки iOS.

Однак є один нюанс – крайній термін подачі заявок на участь у цій програмі – 18:00 31 жовтня 2015 року. Так що, хакери, покваптеся.

Існують численні ознаки того, що веб-движок, відомий як Webkit, буде основним вектором у пошуку цієї помилки; зрештою, Webkit є основним движком рендерингу у веб-браузері Safari від Apple. Браузер Chrome від Google використовує форковану версію того ж движка рендерингу під назвою Blink. Як Webkit, так і Blink неодноразово були об’єктами досліджень, оскільки саме цей компонент спричинив низку вразливостей та став основним шляхом для успішних експлойтів.

Хоча це дослідження спочатку орієнтоване на підприємство, виявлення будь-яких значних помилок, безсумнівно, досягне широкої спільноти, оскільки з’являються виправлення та оновлення для їх усунення. Буквально на цьому тижні з’явилися новини про ще одну загрозу для екосистеми Apple у вигляді скомпрометованих шкідливим програмним забезпеченням додатків, які довелося вивести з експлуатації.

Рекомендації редакції

• Щойно придбали новий iPhone? Ось 12 порад та підказок, як його освоїти
• Apple може зробити немислиме – дозволити сторонні магазини додатків для iPhone
• iOS 17 може бути приголомшливою, якщо Apple зробить ці 7 змін
• Sunbird виглядає як додаток iMessage для Android, який ви так довго чекали
• Не слухайте мільярдерів, таких як Ілон Маск – магазини додатків фантастичні

Source: digitaltrends.com