Apple memperkenalkan program karunia bug diperluas yang mencakup macOS, tvOS, watchOS, dan iCloud serta perangkat iOS, kepala teknik keamanan Apple Ivan Krstić mengumumkan sore ini di konferensi Black Hat di Las Vegas.
Apple memperkenalkan program bug bounty untuk perangkat iOS pada Agustus 2016, memungkinkan peneliti keamanan yang menemukan bug di iOS untuk menerima pembayaran tunai karena mengungkapkan kerentanan terhadap Apple. Sebelumnya, perangkat non-iOS tidak disertakan, sebuah langkah yang sebelumnya telah dikritik oleh komunitas keamanan.
Kurangnya program hadiah bug macOS Apple menjadi berita utama awal tahun ini ketika seorang remaja Jerman awalnya menolak untuk menyerahkan rincian kelemahan keamanan Keychain macOS utama karena Apple tidak memiliki pembayaran. Meskipun pada akhirnya dia memberikan informasi tersebut kepada Apple, dia mengatakan bahwa dia berharap penolakannya akan menginspirasi Apple untuk memperluas program bug bounty, yang memang telah dilakukan oleh perusahaan tersebut.
Dengan peluncuran program bounty bug macOS baru, Apple membuka bounty bug untuk semua peneliti akhir tahun ini dan meningkatkan ukuran maksimum bounty dari $200,000 per exploit menjadi $1 juta tergantung pada sifat dari kelemahan keamanan. Eksekusi kode kernel tanpa klik dengan ketekunan akan menghasilkan jumlah maksimum.
Peneliti yang menemukan kerentanan dalam perangkat lunak pra-rilis sebelum rilis umum dapat memenuhi syarat untuk pembayaran bonus hingga 50 persen di atas jumlah hadiah bug dasar.
Sebagaimana dilaporkan awal minggu ini , Apple juga berencana untuk menyediakan iPhone 'dev' bagi para peneliti keamanan dan peretas yang tepercaya dan tepercaya, alias iPhone khusus yang menyediakan akses lebih dalam ke perangkat lunak dan sistem operasi yang mendasarinya yang akan mempermudah penemuan kerentanan.
Apple menyediakan iPhone ini sebagai bagian dari Program Perangkat Riset Keamanan iOS baru, yang diluncurkan tahun depan. Tujuan Apple dengan upaya karunia bug baru ini adalah untuk mendorong peneliti keamanan tambahan untuk mengungkapkan kerentanan, yang pada akhirnya mengarah ke perangkat yang lebih aman bagi konsumen.
(Terima kasih, SecuritySteve!)
Pesan Populer