今週初め、Apple がバグ報奨金プログラムを拡大し、iPhone などの開発用デバイスをセキュリティ研究者に配布し始めるのではないかという噂が流れていたが、Apple は本日 Black Hat カンファレンスで、その報奨金プログラムを大幅に拡大し、すべての人に公開することを確認した。

これまでAppleはバグ報奨金プログラムをiOSに限定し、参加者も限定していました。本日、Appleのエンジニアリング＆アーキテクチャ部門セキュリティ責任者であるイヴァン・クルスティッチ氏が発表した最初の大きな変更点の一つは、このプログラムをmacOSやiCloudを含むAppleのすべてのプラットフォームに拡大することです。

さらに、この秋から拡大されたプログラムはすべてのセキュリティ研究者に開放される予定で、Appleは新たな報奨金のリストも公開しました。報奨金は最高100万ドルに達します。当初のiOS報奨金プログラムは、最高20万ドルの報奨金でした。

ロック画面のバイパスやiCloudへの不正アクセスを可能にするバグを発見した場合、報奨金は10万ドルです。ユーザーがインストールしたアプリやネットワーク攻撃を介した攻撃を可能にする脆弱性を発見した場合は最大25万ドル、ユーザーの介入なしにネットワーク攻撃を可能にするバグを発見した場合は最大100万ドルが支払われます。この最高額は、ゼロクリックでカーネルコードを永続的に実行できるバグを発見した場合に支払われます。また、リリース前のバグを発見した場合は、研究者は最大50%のボーナスを受け取ることができます。

https://twitter.com/mikebdotorg/status/1159557138580004864

Appleはまた、新しいiOSセキュリティリサーチデバイスプログラムの詳細も発表しました。このプログラムは来年開始され、応募者が「高品質なシステムセキュリティリサーチの実績」を持っている限り、誰でも参加できます。

これにより、特別なiPhoneのような開発用デバイスが研究者の手に渡ることになります。Appleによると、これは「SSH、ルートシェル、高度なデバッグ機能」を備えた「前例のない、AppleがサポートするiOSセキュリティ研究プラットフォーム」です。

iOSセキュリティ研究デバイスプログラム！ pic.twitter.com/4NsKH1DMGd

— ジェシー・ダグアンノ (@0x30n) 2019年8月8日

トップ画像はmikebより

havebin.com を Google ニュース フィードに追加します。