Apple Apple lanserer Bug Bounty Program på Black Hat USA 2016

Apple har endelig et bug-bounty-program.

Selskapets leder for sikkerhetsteknikk og arkitektur, Ivan Krstic, kunngjorde invitasjonsprogrammet under et sjeldent offentlig utseende på Black Hat USA 2016 hacker-konvensjonen i Las Vegas den 4. august.

Krstic, som har ansvaret for end-to-end-sikkerhet for alle Apple-produkter, sa at selskapet vil betale opptil $ 200 000 for feil identifisert under presentasjonen sin på torsdag kalt "Bak scenene til IOS Security."

Kompensasjon avhenger av hack: Å få tilgang til sandboxed-appdata er verdt opp til $ 25 000, mens kompromittering av sikker oppstartskomponentkomponenter kan netto maksimalt $ 200 000.

Belønning av hackere for å avsløre sikkerhetsproblemer i stedet for å hemmelig utnytte dem, har blitt stadig mer vanlig - alle fra Uber til Pentagon gjør det.

Apples skifte fra å stole på forskernes gode vilje til å tilby en belønning for bug-avsløringer, er sannsynligvis motivert av hack av en iPhone 5c knyttet til San Bernardino-skytingen i 2015. Publikum vet lite om hack og om det fortsatt kan brukes til å bryte inn i en iPhone.

Black Hat deltakeren Robert McCarthy Tweeted:

Publikum: "Hvor mye påvirket FBI problemet din stilling?"

Ivan Krstic: "Jeg er ingeniør her for å svare på tekniske spørsmål"

Selv FBI, som betalte en ukjent tredjepart for å hacke iPhone da Apple nektet å hjelpe i saken, vet ikke hvordan enheten ble kompromittert. Det kan ikke engang vite hvor mye hakken virkelig koster, da FBI-direktøren James Comeys påstand om at det koster rundt 1,3 millioner dollar, ble avvist av senere rapporter som hevdet at det faktisk koster mindre enn 1 million dollar.

Den tvetydigheten er enda mer angående fordi FBI ikke fant noe på enheten. Dette betyr at en av verdens ledende rettshåndhevelsesbyråer ga ukjent penger til et ukjent selskap for å utføre en ukjent hack - noe som viser at det kunne gjøres, og at alle med en iPhone 5c er i fare - uten å få noe i retur.

Et program for bugs-bounty kan tillate Apple å eliminere noen av disse variablene og gjøre produktene mer sikre. Likevel er det rart at programmet starter med et par dusin forskere og kun utvides etter invitasjon. Poenget med et bugs-bounty-program er vanligvis å få så mange som mulige til å peke rundt ulike sikkerhetsfunksjoner for å se hva de kan jobbe rundt.

Apple planlegger å invitere flere personer til programmet når tiden går, og å "invitere" alle som rapporterer et alvorlig sårbarhet gjennom andre kanaler, men for nå ser det ut til at Apple bare dipper tærne i bug-bounty-bassenget. Det er karakteristisk for selskapet, som ofte er forsiktigt, men vil sannsynligvis være nedslående for alle som ønsket å dømme for belønningene så snart som mulig.

Likevel er dette umiskjennelige fremskritt for Apple. Det var også Krstic som kom på et arrangement som Black Hat USA i utgangspunktet. I kombinasjon med andre endringer, for eksempel beslutningen om ikke å kryptere iOS 10-kjernen, ser det ut til at arv fra San Bernardino-episoden kan være en Apple som er villig til å gå ut av skyggene, slik at den kan holde de mange som bruker produktene litt sikrere.