Apple công bố mức thưởng phát hiện lỗi bảo mật mới cao hơn, đa dạng hơn – NPA


Đúng theo kế hoạch đã đề ra, Apple vừa ban bố chương trình thưởng tiền phát hiện lỗi bảo mật mới, nâng mức thưởng lên tới 1 triệu đô la trở lên cho các bất kể chuyên gia bảo mật nào cũng có thể tìm thấy các lỗ hổng lớn, nghiêm trọng xuất hiện trong hệ điều hành cũng giống các sản phẩm thuộc hệ sinh thái ứng dụng của công ty.

Chương trình thưởng tiền phát giác lỗi bảo mật của Apple được công bố lần thứ nhất tiên vào năm 2016, chỉ áp dụng với những nhà nghiên cứu bảo mật có thu được giấy mời và những lỗ hổng có liên quan đến iOS. Tuy nhiên trong khuôn khổ hội nghị an ninh mạng ngoài nước Black Hat xảy ra vào tháng 8 vừa qua, Táo Khuyết đã phát biểu mở rộng chương trình này, kể cả thêm nhiều nền tảng khác thuộc hệ sinh thái Apple như iCloud, iPadOS, macOS, tvOS, watchOS, và đặc biệt không giới hạn số người tham gia. Tất nhiên để thu được tiền thưởng, các nhà nghiên cứu phải gửi văn một mô tả chi tiết về lỗ hổng, cho dù là cách thức mà họ tìm ra nó, chừng độ hiểm nguy cũng giống những điều phải làm để ứng phó với lỗ hổng.

Những mức thưởng cao nhất sẽ thuộc về các trường hợp phát giác ra lỗ hổng đa nền tảng (ảnh hưởng cùng lúc đến nhiều nền tảng của Apple), nhất là nếu lỗ hổng này có tác động xấu đến các thiết bị và phần mềm mới ra mắt của Apple. Trường hợp kiếm được lỗ hổng trong phiên bản beta, nhà nghiên cứu sẽ có nhận thêm 50% mức thưởng tiêu chuẩn. Một vài mức thưởng đã được quy định cụ thể bao gồm:

  • 25.000 đến 100.000 đô la đối với các lỗ hổng trích xuất dữ liệu và vượt qua màn hình khóa của thiết bị.
  • 25.000 đến 100.000 đô la đối với những lỗ hổng cấp phép truy cập iCloud trái phép.
  • 100.000 đến 250.000 đô la đối với lỗ hổng cho phép trích xuất dữ liệu mẫn cảm từ một thiết bị đã khóa
  • 1 triệu đô la đối với các lỗ hổng cấp phép kẻ tiến công điều khiển thiết bị từ xa.
  • 1 triệu đô la đối với lỗi bảo mật có thể dẫn đến một cuộc tấn công thực thi mã kernel toàn chuỗi.

Những mức thưởng cao nhất sẽ thuộc về các trường hợp phát hiện ra lỗ hổng đa nền tảng.

Như vậy có thể thấy mức thưởng cao nhất sẽ thuộc về các lỗ hổng zero-click, cho phép kẻ tiến công chiếm quyền điều khiển thiết bị mà chủ nắm giữ không hề hay biết. Tuy nhiên để thu được tiền thưởng, bạn phải gửi chuỗi khai thác đầy đặn cùng với báo cáo chi tiết cho Apple.

Việc mở rộng quy mô chương trình tìm lỗi bảo mật nhận tiền thưởng là một hành động cần thiết, cho biết sự quan tâm của Apple với những đóng góp từ các nguồn lực bên ngoài, từ đó chất lượng sản phẩm và dùng thử người dùng cũng được cải thiện đáng kể.

Sưu Tầm: Internet – Kênh Tin: NPA

Bài Viết Liên Quan


Bài Viết Khác