Chương trình ‘Săn lỗi nhận thưởng’ của Apple đã xuất hiện hơn một năm qua, nhưng hầu hết các nhà nghiên cứu đều không muốn chia sẻ lỗi với Apple vì mức thù lao thấp.
Các chuyên gia bảo mật có xu hướng bán lỗi bảo mật trên thị trường xám thay vì báo cáo cho Apple. ẢNH CHỤP MÀN HÌNH
Theo Apple Insider, thông tin này là kết quả của một cuộc điều tra do Motherboard thực hiện. Hầu hết các chuyên gia bảo mật đều có thể kiếm được nhiều tiền hơn từ các nguồn thứ ba cho các lỗi trong phần mềm của Apple mà họ tìm thấy. Theo những người này, các lỗi tìm thấy trong sản phẩm Apple "quá quý giá" và xứng đáng nhận được một mức thưởng cao hơn nhiều.
Được công bố tại hội nghị Black Hat vào năm 2016, chương trình "săn lỗi nhận thưởng" của Apple với mong muốn giúp "nhà táo" khám phá những lỗi zero-day nguy hiểm, từ đó củng cố được các tính năng phòng thủ cao cấp.
Mức trả cao nhất được Apple đưa ra là 200.000 USD cho lỗi liên quan đến các thành phần firmware khởi động và nhanh chóng giảm xuống 100.000 USD với các lỗi khai thác dữ liệu được bảo vệ bởi Bộ xử lý Secure Enclave.
Các khoản thưởng thấp hơn bao gồm 50.000 USD khi khởi động mã tùy ý với quyền kernel, 50.000 USD để truy cập trái phép vào dữ liệu tài khoản iCloud trên máy chủ của Apple và 25.000 USD để truy cập hộp bảo mật (sandbox) tới dữ liệu người dùng.
Ngược lại, các công ty tư nhân như Zerodium đã trả 1,5 triệu USD cho một loạt các lỗi có khả năng jailbreak iPhone. Các công ty khác sẽ chấp nhận việc khai thác lỗ hổng iOS với giá đến 500.000 USD tùy thuộc vào mức độ.
Chính vì vậy, những người tham gia thường miễn cưỡng báo cáo các lỗi hệ thống đã được phát hiện cho Apple khi những lỗi này không có giá trị trên thị trường xám (grey market) hoặc chúng không cho phép làm việc trên các khu vực khác của hệ điều hành.
Hiếu Trung
Theo Thanhnien
0 comments:
Post a Comment