Apple köper upp sitt Bug Bounty-program med $ 1 miljoner pris

Apple köper upp sitt Bug Bounty-program med $ 1 miljoner pris

Apples macOS Àr i sig sÀkrare Àn Windows eller Android, men att sÀkra vilket operativsystem som helst Àr en 24/7 operation, och pÄ Black Hat, Ivan Krstic, Apples chef för sÀkerhetsteknik och arkitektur, detaljerade tre högtekniska sÀkerhetsprestationer och lade till sin egen One Mer sak.

Stramare och stramare sÀkerhet

De flesta Black Hat-deltagare har kodningsförmÄga som strÀcker sig frÄn starka till galna, och de behövde dessa fÀrdigheter för att följa Krstics detaljerade genomgÄng av Apples arbete. Oroa dig inte, jag försöker inte rapportera pÄ djupkodnivÄ.

Black Hat Bug Art

“Vi har investerat mycket i sĂ€ker Mac-start”, sa Krstic. “Gatekeeper, skydd av anvĂ€ndarnas integritet, det hĂ€r Ă€r funktioner som vi hade premiĂ€r i Mojave och mer i Catalina. Det finns kontroller av skadlig kod i nĂ€stan alla körningar. Catalina lĂ€gger till mĂ„nga fler kategorier av skyddade data.”

Lagets plan för sÀker start av Mac krÀvde att ett T2-sÀkerhetschip tog initiativet innan kontrollen överlÀmnades till standard sÀker UEFI-start. Andra innovationer förhindrade subversion av sÀker start av sÄdana saker vid ROM-drivrutiner för starttid.

Krstic gick sedan djupt in i förbÀttringar av kodintegritetsskydd för iOS-enheter. Det rÀcker med att sÀga att iOS 13 kommer att vara betydligt sÀkrare Àn sin föregÄngare.

Systemet “Hitta mitt” som lĂ„ter dig spĂ„ra en förlorad Apple-enhet kan inte göra mycket om din enhet Ă€r offline. Eller kan det? Apples nya förbĂ€ttring av den hĂ€r funktionen gör att den kan fĂ„ hjĂ€lp frĂ„n nĂ€rliggande Apple-enheter med Bluetooth. Jag kan inte sĂ€ga att jag förstod alla kryptografiska detaljer, men det gör det pĂ„ nĂ„got sĂ€tt utan att lĂ„ta Apple, din enhet eller den nĂ€rliggande “hitta” -enheten veta nĂ„got de inte borde. Eller sĂ„ sĂ€ger Apple.

Ny Bug Bounty Plan

Apples sĂ€kerhetspremieprogram introducerades 2016 med en pott pĂ„ 200 000 dollar och Apple har sedan fĂ„tt “över 50 anvĂ€ndbara rapporter”, enligt Krstic.

Apples program kommer att vara “öppet för alla som börjar i höst”, meddelade Krstic, för ett applĂ„der. “Vi utökar det för att lĂ€gga till tvOS, iPadOS, watchOS … och macOS” – som fick Ă€nnu mer applĂ„der.

Han fortsatte med att detaljera mĂ„nga nya kategorier och deras bounties, som strĂ€cker sig frĂ„n $ 100.000 till högst $ 500.000. Dessutom fĂ„r bugjĂ€gare som lyckas under en produkts pre-release-period 50% bonus, “för att den bĂ€sta tiden att fĂ„nga ett fel Ă€r innan den slĂ€pps.”

Det Ă€r inte allt. “Vad sĂ€gs om en iOS-fullkedja med nollklick med körning och uthĂ„llighet av kĂ€rnkoder?” FrĂ„gade Krstic. Enkelt uttryckt, det skulle vara en attack som helt kan pwna din iPhone, och den sĂ€llsynta enhörningen av en exploatering Ă€r vĂ€rt en cool miljon.

Vi förstÄr alla lockelsen pÄ en miljon dollar, men Krstics slutliga tillkÀnnagivande var lika spÀnnande för Black Hat-publiken.

“Det Ă€r för svĂ„rt att komma igĂ„ng med iOS-forskning”, konstaterade Krstic. “MĂ„nga skickliga forskare hĂ„ller fast vid andra plattformar.” SĂ„ nĂ€sta Ă„r kommer Apple att öppna ett iOS Security Research Device-program. Åtkomst sker endast genom att bjuda in, men Apple tar applikationer frĂ„n alla med sĂ€kerhetsexpertis.

De som accepteras kommer att fÄ en speciell utvecklarcentrerad iPhone förinstallerad med viktiga verktyg.