Apple Apple lancerer Bug Bounty Program hos Black Hat USA 2016

Apple har endelig et fejlbidragsprogram.

Firmaets chef for sikkerhedsteknologi og arkitektur, Ivan Krstic, annoncerede invitation-only-programmet under et sjældent offentligt udseende på Black Hat USA 2016 hacker-konventet i Las Vegas natten den 4. august.

Krstic, hvis team håndterer ansvaret for end-to-end-sikkerhed for alle Apple-produkter, sagde, at selskabet vil betale op til $ 200.000 for fejl, der blev identificeret under hans præsentation torsdag kaldet "Bag the Scenes of iOS Security."

Kompensation afhænger af hack: adgang til sandboxed app data er værd op til $ 25.000, mens kompromittering af sikker opstart firmware komponenter kan netto maksimalt $ 200.000.

Belønning af hackere for at afsløre sikkerhedssvagheder i stedet for i hemmelighed at udnytte dem er blevet mere og mere almindeligt - alle fra Uber til Pentagon gør det.

Apples skifte fra at stole på forskernes gode vilje til at tilbyde en belønning for bug-afsløringer er sandsynligvis motiveret af hack af en iPhone 5c, der er forbundet med San Bernardino-skydningen i 2015. Offentligheden ved lidt om hacket, og om det stadig kan bruges til at bryde ind i en iPhone.

Black Hat deltager Robert McCarthy Tweeted:

Publikum: "Hvor meget påvirker FBI problemet med din stilling?"

Ivan Krstic: "Jeg er ingeniør her for at besvare tekniske spørgsmål"

Selv FBI, som betalte en stadig ukendt tredjepart til at hackere iPhone, da Apple nægtede at hjælpe i sagen, ved ikke, hvordan enheden blev kompromitteret. Det kan ikke engang vide, hvor meget hacket virkelig koster, da FBI-direktøren James Comeys påstand om, at det kostede omkring 1,3 millioner dollars, blev afvist af senere rapporter, som hævdede, at det faktisk kostede mindre end 1 million dollars.

Denne tvetydighed er endnu mere angående, fordi FBI ikke fandt noget på enheden. Dette betyder, at en af ​​verdens førende retshåndhævende myndigheder gav et ukendt beløb til et ukendt firma for at udføre et ukendt hack - hvilket viser at det kunne gøres, og at alle med en iPhone 5c er i fare - uden at få noget til gengæld.

Et program for bug-bounty kan give Apple mulighed for at fjerne nogle af disse variabler og gøre sine produkter mere sikre. Men det er underligt, at programmet starter med et par dusin forskere og kun udvides ved invitation. Pointen med et bug-bounty-program er som regel at få så mange mennesker som muligt at poke rundt om forskellige sikkerhedsfunktioner for at se, hvad de kan arbejde rundt.

Apple planlægger at invitere flere mennesker til programmet som tiden går, og at "invitere" enhver, der rapporterer en alvorlig sårbarhed via andre kanaler, men i øjeblikket ser det ud til, at Apple simpelthen dipper tæerne i bug-bounty-puljen. Det er karakteristisk for virksomheden, som ofte er forsigtigt, men vil sandsynligvis være nedslående for alle, der gerne vil vie for belønningen så hurtigt som muligt.

Alligevel er dette umiskendelige fremskridt for Apple. Så var Krstic også på en begivenhed som Black Hat USA i første omgang. I kombination med andre ændringer, ligesom beslutningen om ikke at kryptere iOS 10-kernen, ser det ud til, at San Bernardino-episoden er arv, der kan være en Apple, der er villig til at træde ud af skyggerne, så det kan holde de mange mennesker, der bruger sine produkter lidt sikrere.