Apple tung chương trình phát hiện lỗi săn tiền thưởng trên iOS

Apple tung chương trình phát hiện lỗi săn tiền thưởng trên iOS

Apple tung chương trình phát hiện lỗi săn tiền thưởng trên iOS

Tin tức này xuất hiện trong bài trình bày của ông Ivan Krstic tại hội thảo an ninh Black Hat USA thường niên diễn ra tại Las Vegas.

Krstic là người quản lý chương trình kỹ thuật và cấu trúc an ninh. Ông góp mặt tại hội nghị để trình bày về vấn đề an ninh chuyên sâu cho iOS. Đây là lần đầu tiên Apple xuất hiện tại một hội nghị Black Hat trong vòng 4 năm qua.

Từ sau cuộc chiến với FBI vào mùa xuân vừa rồi, Apple đã thể hiện rõ sự tập trung vào những cam kết liên quan đến bảo mật. Và mới đây nhất, hãng này đã mở một chương trình tìm lỗ hổng bảo mật nhận tiền thưởng đầu tiên. Chương trình sẽ bắt đầu vào tháng 9 tới tại nhiều khu vực. Tùy theo loại lỗ hổng tìm được, các nhà nghiên cứu và các tổ chức sẽ nhận được số tiền tương ứng.

Các khoản tiền thưởng và các danh mục được thưởng bao gồm

- Tìm ra thành phần của các secure boot firmware nhận giải thưởng lên tới 200.000 USD

- Khai thác  các dữ liệu bảo mật được bảo vệ bởi Secure Enclave Processor nhận giải thưởng lên tới 100.000 USD

- Thực thi được các đoạn mã bất kỳ với quyền lưu tiên lõi (kernel privileges): 50.000 USD

- Truy cập trái phép vào các dữ liệu iCloud trên máy chủ của Apple: 50.000 USD

- Truy cập vào các quy trình được bảo về bởi sandbox để vào dữ liệu người sử dụng bên ngoài sandbox: 25.000 USD

Các tổ chức có thể nhận tiền thưởng của Apple hoặc quyên góp số tiền này cho các quỹ từ thiện. Apple cho biết nếu các nhà nghiên cứu chọn quyên góp tiền làm từ thiện, Apple sẽ nhận trách nhiệm gửi khoản tiền này đến đúng địa chỉ.

Apple còn tuyên bố công ty cũng có thể thưởng cho các nhà nghiên cứu nếu họ phát hiện ra các lỗ hổng an ninh quan trọng dù không nằm trong danh sách trên.

Không giống như những chương trình săn tiền thưởng khác, chương trình này không mở cho mọi đối tượng. Hiện nay, Apple đang hợp tác với rất nhiều các nhà nghiên cứu và tổ chức an ninh để tập trung tìm ra các lỗ hổng. Thế nhưng, trả lời trang Mashable, Apple cũng cho biết công ty sẽ sớm mở rộng chương trình này cho nhiều cá nhân và tổ chức hơn trong tương lai. Ngoài ra, Apple luôn hoan nghênh bất cứ ai dù không có liên hệ với các tổ chức được Apple mời để phát hiện ra các lỗ hổng nhưng tìm ra những lỗ hổng và báo cho Apple. Những người này cũng sẽ được mời vào chương trình chính thức.

Apple cho biết hãng đã làm việc với rất nhiều công ty đã tổ chức các chương trình săn giải thưởng thành công để xin lời khuyên và được gợi ý là nên bắt đầu với quy mô nhỏ sau đó mở rộng ra.

Mặc dù việc Apple tung ra một chương trình săn lỗ hổng kiếm giải là điều rất tốt nhưng dường như công ty đã đắn đo quá lâu. Hầu hết các công ty lớn trong làng công nghệ, bao gồm Microsoft, Google và Facebook đều đã có những chương trình tương tự từ cách đây vài năm.

Vì sao Apple lại chậm chân như vậy?

Trả lời trang Mashable, Apple cho biết mặc dù đã làm việc với các nhà nghiên cứu từ nhiều năm nay và liên tục nhận được các phản hồi từ chuyên gia trong và ngoài công ty, nhưng rất khó để tìm ra những lỗ hổng lớn mà không có một chương trình săn tiền thưởng. Vậy nên công ty quyết định sẽ tìm kiếm các tổ chức và nhà nghiên cứu bên ngoài để tìm thêm lỗi.

Hiện Apple chỉ tập trung vào tìm lỗi cho hệ điều hành iOS nhưng trong tương lai chương trình sẽ được mở rộng ra các hệ điều hành khác, bao gồm macOS cũng như các khu vực khác.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận