- Регистрация
- 9 Май 2015
- Сообщения
- 1,071
- Баллы
- 155
- Возраст
- 51
Программа вознаграждения за обнаружение ошибок, о которой Apple говорила еще в августе этого года, теперь официально открыта для всех. Ранее это был закрытый проект, участие в котором можно было принять только по приглашениям, что вызывало ряд критики со стороны простых пользователей. Помимо этого, многие просто продавали информацию об обнаруженных уязвимостях сторонним компаниям, которые использовали ее в своих целях. Многие участники программы обнаружения ошибок ранее жаловались на низкие суммы вознаграждений — это также толкало их на сотрудничество с компаниями-конкурентами.
Чтобы пользователь получил свое вознаграждение, найденная им проблема должна касаться устройств, работающих на последних версиях iOS, iPadOS, macOS, tvOS или watchOS. Таким образом, Apple сможет быстро устранять ошибки, выпуская новые обновления безопасности. Помимо этого исследователи должны выполнить определенные действий для того, чтобы их заявку приняли во внимание.
Требования к желающим получить вознаграждение:
Вот полный список характера уязвимостей и вознаграждения за них:
Чтобы пользователь получил свое вознаграждение, найденная им проблема должна касаться устройств, работающих на последних версиях iOS, iPadOS, macOS, tvOS или watchOS. Таким образом, Apple сможет быстро устранять ошибки, выпуская новые обновления безопасности. Помимо этого исследователи должны выполнить определенные действий для того, чтобы их заявку приняли во внимание.
Требования к желающим получить вознаграждение:
- Быть первым сообщившим о конкретной проблеме в Apple Product Security.
- Предоставить подробный отчет о том, как была обнаружена уязвимость.
- Не раскрывать никакую информацию публично до тех пор, пока Apple не возьмется за решение вопроса.
Вот полный список характера уязвимостей и вознаграждения за них:
- Несанкционированный доступ к данным учетной записи iCloud на серверах Apple — 100 000 долларов.
- Атака устройства через обход экрана блокировки — 100 000 долларов.
- Извлечение пользовательских данных — 250 000 долларов.
- Атака устройства с помощью установленного пользователем приложения — 100 000 долларов.
- Выполнение кода ядра — 150 000 долларов.
- Атака центрального процессора — 250 000 долларов.
- Несанкционированный доступ к конфиденциальным данным в один клик — 150 000 долларов.
- Выполнение кода ядра в один клик — 250 000 долларов.
- Сетевая атака без взаимодействия с пользователем — 250 000 долларов.
- Несанкционированный доступ к конфиденциальным данным с нулевым щелчком — 500 000 долларов.
- Выполнение кода ядра с нулевым запросом — 1 000 000 долларов (плюс бонус в виде 50% от суммы за предоставление рабочего эксплойта).