Компания Apple пригласила всех желающих поучаствовать в программе bug bounty. Ранее она была доступна только избранным ИБ-специалистам и исключительно по приглашениям.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Программа затрагивает не только iOS, но и другие программные продукты Apple — iCloud, iPadOS, macOS, tvOS watchOS. Общий фонд для осуществления выплат превышает миллион долларов США.

Исследователь, нашедший баг, должен детально описать его таким образом, чтобы инженеры Apple смогли воспроизвести проблему. Копаться глубоко в коде или предлагать способы решения не требуется, что значительно упрощает задачу и увеличивает шанс получить выплату.

Примерное вознаграждение за обнаружение максимально опасных багов:

• Обход экрана блокировки устройства без авторизации — от 25 000 до 100 000 долларов
• Получение неавторизованного доступа к iCloud — от 25 000 до 100 000 долларов
• Извлечение данных с заблокированного устройства — от 100 000 до 250 000 долларов

Любой баг, найденный в бета-версии платформы, увеличивает выплату на 50%. На дополнительные деньги также можно рассчитывать, если проблема настолько фундаментальна, что затрагивает сразу несколько операционных систем и актуальна для новейших устройств Apple. Повышенную выплату можно получить за сообщение о баге, с помощью которого можно взломать устройство без физического доступа к нему. В этом случае исследователь также должен расписать всю цепочку использованных эксплойтов и подробную последовательность своих действий.



Условия программы bug bounty от Apple считаются одними из самых привлекательных и щедрых на рынке. Попасть в число избранных ИБ-специалистов, которые могли принять в ней участие, раньше было не так просто, но теперь ситуация изменилась. Возможно, это связано с тем, что Apple хочет сделать следующее обновлений iOS максимально беспроблемным — по слухам, при разработке iOS 14 компания сосредоточится не на добавлении новых возможностей, а на устранении багов.