Appleユーザーは、サイバー脅威や脆弱性に対して完全に免疫があるわけではありません. したがって, Appleがバグバウンティプログラムをより多くの研究者に拡大することを決定したことは驚くべきことではありません。 $1 100万.
発表は数日前に イヴァン・クルスティッチ, Appleのセキュリティエンジニアリングおよびアーキテクチャの責任者, ラスベガスでのブラックハットセキュリティ会議中. プログラムは来年開始される予定です, そしてそれは脆弱性を探すために選ばれた研究者に特別なiOSデバイスを与えるでしょう.
Appleのバグバウンティでの最大支払い額は現在 $1 100万
バグバウンティの最大支払い額は次のように設定されています $1 100万, これは、ユーザーの操作を必要としない、カーネルレベルの永続的なセキュリティ上の欠陥を対象としています。. 全体, Appleは他の脆弱性や問題に対する支払いを増やしました.
更新されたバグバウンティプログラムで最も興味深いのは、Appleがプレリリースソフトウェアへのアクセスを許可することを計画していることです. バウンティハンターもiOSへの内部アクセスが許可されます, SSHに付属するデバイスを含む. マックOS, iCloud, tvOS, およびiPadOS, とwatchOSもプログラムに含まれています, iOSとiCloudのみを含む現在のバージョンとは対照的に.
会議中のKrstićのプレゼンテーションによると, プログラムはに開かれます “あらゆるプラットフォームで高品質のシステムセキュリティ研究の記録を持つすべての人」.
Appleのバグバウンティプログラムでの以前の最高の支払いは $200,000, セキュアブートファームウェアコンポーネントの欠陥の発見に対する支払い. 研究者も参加するよう招待されなければなりませんでした, これはデフォルトでプログラムを制限しました. プログラムの変更は、コミュニティによる肯定的なフィードバックを引き起こしました, パトリック・ワードルを含む, 有名なアップルのセキュリティ専門家の一人.
Appleの防弾セキュリティは神話です
TUダルムシュタットとノースイースタン大学の研究者によって発表された最近のレポートは、AWDLの脆弱性を明らかにしています (アップルワイヤレスダイレクトリンク) 攻撃者がユーザーを追跡できるようになる可能性があります, クラッシュデバイス, またはman-in-the-middleのデバイス間で転送されたファイルを傍受する (MitM) 攻撃.
ユーザーの観点から, AWDLを使用すると、デバイスはインフラストラクチャベースのWi-Fiネットワークに接続されたままになり、2つのネットワークのチャネル間をすばやくホッピングすることでAWDLピアと同時に通信できます。 (AWDLは固定ソーシャルチャネルを使用します 6, 44, と 149), StackOverflowユーザーが書いた.
レポートによると, 「「10億を超えるデバイスに導入されています, いくつかのAppleオペレーティングシステムにまたがる (iOS, マックOS, tvOS, とwatchOS) とデバイスの種類が増えています (マック, iPhone, iPad, アップルウォッチ, Apple TV, とHomePod), アップルワイヤレスダイレクトリンク (AWDL) ユビキタスであり、Appleエコシステムでデバイス間の通信を可能にする上で重要な役割を果たします.」