Apple kündigt nur auf Einladung Programm Bug Bounty auf der Black-Hat-Konferenz

Apple kündigt nur auf Einladung Programm Bug Bounty auf der Black-Hat-Konferenz

Ein Apple-Sicherheitschef kündigte unerwartet das Unternehmen für Sicherheitslücken in bestimmten Aspekten von iOS und iCloud gefunden zu zahlen. Das Programm ist nur auf Einladung und Auszahlungen werden nach Schweregrad und Kategorie basieren. Die Top-Gebühren in fünf Bereiche reichen von $ 25.000 bis $ 200.000, aber könnte viel niedriger. Die Ankündigung kam während einer Präsentation von Ivan Krstic, Apfel ’ s Kopf der Sicherheitstechnik und Architektur, auf der Black Hat Sicherheitsforschungskonferenz in Las Vegas.

Die Präsentation umfasste auch einen Grad der technischen Einzelheiten und die Offenlegung von Sicherheit — hier, bezogen auf AutoUnlock, HomeKit und iCloud Keychain — das hat in der Vergangenheit bei Konferenzen meist nicht vorhanden, gemäß den Anwesenden.

Die angebotenen Gebühren aren ’ t genug diejenigen lediglich darin, für das Geld abzuschrecken, als erhebliche Mängel Bargeld vor bösartigen und legitimen Parteien gleichermaßen befehlen kann, die weit über Apfel ’ s Top-Konditionen. Aber es könnte dazu beitragen, Forscher überzeugen Probleme Apple offen zu legen und stumm bleiben, bis die Fehler ausgebessert werden. In einigen Fällen, in den letzten Jahren, diejenigen, die Exploits entdeckt hatte, ging an die Öffentlichkeit, nachdem sie genügend Zeit ohne Apple-Bereitstellung von Aktualisierungen weitergegeben hatte beschlossen.

Die meisten von Apple ’ s Konkurrenten für Kunden und Augäpfel bereits laufen so genannte Bug Bounty-Programme, in denen Forscher oder Hacker übergeben, was sie wissen, im Austausch für eine Gebühr, in der Regel in bar bezahlt, und ruhig zu halten bis Fixes Schiff. Einige Sponsorenevents Hacking, die Auszahlung in bar, Ausrüstung oder beide für ein Ziel zu erreichen, wie von einem Browser-Sandbox auszubrechen entwickelt, um schädliche Software vom Rest des Systems enthalten. Amazon bleibt jetzt die Ausnahme unter den großen Internet-Firmen.

Details wurden von Teilnehmerberichten zusammengebaut; die Präsentation isn ’ t online verfügbar, und Apple hasn ’ t geschrieben Details noch. Wir haben eine Anfrage für weitere Informationen an Apple heraus; einige Forscher und Publikationen wurden unter Embargo vor der Zeit informiert.

Apple hat heute 200.000 ein Bug Bounty Programm mit einer maximalen Auszahlung von $. Live im September # BlackHat2016 pic.twitter.com/Zo4iDO5Ybw

&mdash gehen; Robert McMillan (@bobmcmillan) 4. August 2016

Krstić aufgeführten fünf Kategorien von Bugs und die Top-Gebühr für jede gezahlt. Diejenigen, die besucht sagen, dass macOS isn ’ t noch als Teil des Programms.

  • Secure Boot Firmware-Komponenten ($ 200.000 cap)

  • Die Extraktion von vertraulichem Material durch den Secure Enclave Prozessor geschützt ($ 100.000 cap)

  • Die Ausführung von beliebigem Code mit Kernel-Rechten ($ 50.000 cap)

  • der unbefugte Zugriff auf iCloud-Account-Daten auf Apple-Servern ($ 50.000 Kappe )

  • der Zugang von einem Sandbox-Prozess auf Benutzerdaten außerhalb dieser Sandbox ($ 25.000 cap)

Jeder dieser Aspekte stellt Schlüsselvektoren für gleichermaßen von den Regierungen und Kriminelle Angriff. Während iOS hat nie Exploits deutlich in der Wildnis ausgebreitet hatte, hat Jailbreaking-Software Verwendung von verschiedenen Methoden der laufenden beliebigen Code gemacht. In einer separaten Präsentation Black Hat, die Macher des Pangu Jailbreak für iOS 9 (fest in Version 9.2) beschrieben, wie sie diese Art von Code-Ausführung erreicht.

Bisher gibt ’ s war die dedizierte Hardware in iOS-Geräte mit einem A7 oder neuer Verfahren nicht bekannt Extraktion von Daten von Secure Enclave, das als Einwegventil wirkt Fingerabdruckmerkmale und bestimmte Daten zu speichern, im Zusammenhang mit Apple-Pay. It ’ s auch zu verhindern, dass die Herabstufung iOS verwendet, um einen Fehler in einer früheren Version zu nutzen.

Während iCloud-Accounts wurden in der Vergangenheit durch bestimmte schwache Passwort-Eingabe Endpunkte und Social Engineering von Prominenten Konten gibt ’ kompromittiert; s gewesen keine gemeldet Verletzung von iCloud-Servern.

Die aufgefordert, das Programm bewerben wird ein Proof of Concept zur Verfügung zu stellen, die auf aktuelle Software und Hardware funktioniert. Bounties wird auf einer Kombination von Faktoren basieren, wie bei anderen Unternehmens Bug-Programme wie, wie viel Interaktion eines Benutzers erforderlich ist, auszulösen, der Exploit ’ s Schwere, wie Roman es zu den bisher bekannten Probleme verglichen wird, und wie deutlich der Fehler beschrieben.

Apple hat bot auch eine Beule auf Bug-Finder, die ihre Auszeichnungen für wohltätige Zwecke spenden wollen. Nach eigenem Ermessen — potenziell zu vermeiden gemeinnützige Organisationen im Widerspruch zu seinem Bild oder öffentlichen Stellungnahmen — zu unterstützen; Apple wird für Dollar gespendet Auszeichnungen Dollar entsprechen.

Der Sicherheitsforscher Rich-Mogull, ein Beitrag zur Macworld und andere Apple-fokussierten Publikationen, in einem Beitrag darauf hingewiesen, auf seine Firma ’ s Blog, dass Apple betrachten wird das Hinzufügen diejenigen, die Fehler entdecken, aber haven ’ t an die eingeladen Bounty Programm. Apple-won ’ t eine Liste der Eingeladenen veröffentlichen, schreibt er, aber diejenigen teilnehmen, sind frei, um es offen zu legen. Mogull schreibt ein paar Dutzend Forscher anfängliche Einladungen erhalten haben. Dies ist eindeutig bestimmt das Volumen der Berichte zu reduzieren und halten die Qualität hoch. Apple hat lange Fehlerberichte ohne das Potenzial der Entschädigung akzeptiert, und dass weiter.

Apple-Forscher begann zu erkennen, die sich auf seine vorherige Angabe entsprach und Testregeln vor einigen Jahren und beinhaltet den Namen und die Firmenzugehörigkeit (falls vorhanden) in Sicherheits-Updates. Apple-vorenthält Kredit und manchmal veröffentlicht diejenigen, die außerhalb seiner Richtlinien arbeiten, am prominentesten Charlie Miller Aussetzung, die viele Mängel zuvor entdeckt hatte, von seinem Entwickler-Programm im Jahr 2011, nachdem er eine App im App Store mit einem Proof-of-Concept-Fehler genehmigt hatte eingebettet.

Bugs zahlen groß auf grauen und schwarzen Märkten, mit kriminellen Syndikate und Regierungsbehörden manchmal für die gleiche vying exploit, bevor es ’ s gefunden und geflickt. Diese so genannten Zero-Day-Bugs, diejenigen, die aren ’ gepatcht t, bevor sie ’ Re verwendet, um eine Schwäche ausnutzen, erlauben bösartige und legitimen Parteien gleichermaßen Wege-Server zu knacken, Betriebssysteme, und manchmal einzelne Computer und mobile Geräte. Effektive Risse können für Zehntausende von Dollar gehen, mit Berichten der Spitzensteuersatz auf eine Million Dollar setzen.

Das Justizministerium seinen Versuch fiel von Apple zu zwingen, eine spezielle Version von iOS zu erstellen, die das FBI eine Arbeit bereitgestellte iPhone zu versuchen, erlauben würde, von San Bernardino Massenmörder Syed Rizwan verwendet zu knacken, nachdem sie erhalten ein Bypass von einem dritten.

Gebühren bei anderen Unternehmen reichen von einem Ausgangspunkt von $ 100 bis $ 500 und werden von $ 20.000 bei Google zu $ ​​100.000 bei Microsoft mit einer Kappe bedeckt bei. Einige Unternehmen don ’ t haben eine angekündigt Kappe und können weit höhere Gebühren für Großtaten bieten.

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.