スマホ関連の海外ニュースです。
今年の Black Hat 会議で与えられたセキュリティのプレゼンテーションの一部として、Apple は秋にバグ気前のよさプログラムを開始することを発表しました。プログラムはアップル社の製品の脆弱性を明らかにし、当社の注意にそれらをもたらす人のセキュリティ研究者に報酬を与えます。Google、マイクロソフト、Facebook、および他の多くの企業がいくつかの時間が今のバグ賞金プログラムを提供しているが、これは Apple の最初。 今のところ、Apple は意図的にプログラムの範囲を小さく抑え。それは最初それが過去に共演している数十人のセキュリティ研究者の小さいグループからのバグ報告を受け入れます。今のところ、報奨金は、iDevice と iCloud のバグの小さい範囲のため提供されています。完全なリストは次のように: 対象となるセキュリティ研究者の一覧と、報奨金を提供するハードウェアとソフトウェアのバグのリストを拡大するプログラムは続行し、アップルの作品、ええと、そのプロセスのバグ。 報奨金は作業概念実証とアップルに報告書を提出する必要がありますと主張する研究者は、iOS の最新の安定バージョンで動作するを利用します。場合のバグ、ハードウェア関連 (セキュリティで保護された飛び地のバグの場合があります)、概念実証する必要があります最新の出荷の iPhone や iPad のハードウェア上で動作も。上記お支払い金額は上限-実際の支払いは、依存問題とどのように可能性が高い新規性の問題が悪用されることです。 研究者は Apple はそれらを修正する時間を持って前にバグを開示しないことも求められますが、会社とだけ言ってそれは、できるだけ早くそれらを修正してしっかり時間ウィンドウに託さない。彼らはそれをしたい場合、研究者がクレジットに与えられます修正プログラムを発行すると、(アップルすでにこれを行いますのセキュリティ更新プログラムのリリース ノートで)。成功した研究者には、アップルは言うそれをその裁量で寄付と一致しないと選択可能性がありますがまた Apple からその恩恵をマッチング寄付と一緒に慈善事業に寄付する機会を与えられます。 アップルは、バグは、見つけるために、難しくなっているが、これらのプログラムはまた他の企業、政府、またはそれらを利用する必要があります人にそれらのバグを販売から研究者を阻止するため一部その気前のよさプログラムの実装はそれを言います。戻って、2015 年 11 月に Zerodium と呼ばれる服はブラウザー ベースのジェイル ブレーキング悪用の $ 100 万バウンティを支払った。アップルは、暗号化今年より FBI に対してオフに直面した、FBI ケースのセンターで 5 C iPhone 上のデータにアクセスするためのエージェントを許可する脆弱性のセキュリティ研究者が「灰色帽子」を支払うことを終了します。 FBI 事件をきっかけに、ニューヨーク ・ タイムズに話してアップル従業員、会社だった」が進まないバグの支払いの金融軍拡競争に追いつくために」と主張しました。この新しい気前のよさプログラムは思考のように変更を指します。アップルはバグのために支払う金額が過去には、第三者に提供しているものとしてはかなりほど高くはないが良い最初のステップです。
続きを読む…
Starting this fall, Apple will pay up to $200000 for iOS and iCloud bugs
As part of a security presentation given at this year’s Black Hat conference, Apple today announced that it would be starting up a bug bounty program in the fall. The program will reward security researchers who uncover vulnerabilities in Apple’s products and bring them to the company’s attention. Google, Microsoft, Facebook, and many other companies have offered bug bounty programs for some time now, but this is Apple’s first. For now, Apple is intentionally keeping the scope of the program small.
Read more…
