Apple laajensi bugipalkkio-ohjelmaansa – yksittäisen haavoittuvuuden löytäjälle nyt jopa 1,5 miljoonan dollaria

Apple on merkittävästi laajentanut tietoturvahaavoittuvuuksien bugipalkkio-ohjelmaansa, jossa Apple maksaa haavoittuvuuksien löytäjälle rahallisen korvauksen.

Aiemmin Applen bugipalkkio-ohjelma on ollut avoinna vain Applen erikseen mukaan kutsumille tahoille ja se on koskettanut vain iOS-laitteita. Jatkossa palkkioita voi tienata iOS:n, iPadOS:n, macOS:n, tvOS:n ja watchOS:n sekä Applen palveluiden, kuten iCloud, haavoittuvuuksista. Lisäksi haavoittuvuuksia bugipalkkioiden toivossa Applelle voi ilmoittaa käytännössä kuka tahansa.

Apple on asettanut tiettyjä ehtoja haavoittuvuuksille, joista palkkioita maksetaan. Niiden tulee esiintyä tuoreimmassa julkaistussa ohjelmistoversiossa ja tavanomaisessa käyttökonfiguraatiossa. Lisäksi luonnollisesti palkkion saamiseksi ilmoittajan pitää olla ensimmäinen haavoittuvuudesta Applelle kertonut, toimittaa selkeä raportti haavoittuvuudesta toimivan esimerkin kera ja pitäytyä kertomasta siitä julkisesti ennen kuin Apple on julkaissut tietoturvatiedotteen, mikä yleensä tapahtuu ohjelmistopäivityksen yhteydessä.

Apple on jakanut haavoittuvuuksia erilaisiin kategorioihin, joiden perusteella palkkioita maksetaan. Vähimmäiskorvaus kategorioissa on 5 000 dollaria ja maksimipalkkiot vaihtelevat 100 000 dollarista jopa 1 miljoonaan dollariin. Suurimmat palkkiot maksetaan haavoittuvuuksista, jotka päästävät verkon yli etänä suorittamaan koodia kernel-tasolla pysyvästi, myös siis laitteen uudelleenkäynnistyksen jälkeen, ilman mitään käyttäjältä vaadittavia toimia. Muina esimerkkeinä fyysisesti hallussa olevan laitteen lukitusnäkymän ohituksesta maksimipalkkio on 100 000 dollaria, kuten myös iCloud-tilitietoihin pääsystä.

Apple kertoo lisäksi maksettavien palkkioiden olevan 50 prosenttia korkeampia, jos ne löytyvät erikseen tiedotetuista sovelluskehittäjien ja julkisista beetatestiversioista. Enimmäispalkkio yksittäisestä haavoittuvuudesta beetabonuksella on näin 1,5 miljoonaa dollaria. Apple maksaa beetoista löytyneistä haavoittuvuuksista korkeampia palkkioita, jotta enemmän haavoittuvuuksia löydettäisiin ennen niiden päätymistä suuren yleisön julkaisuversioihin ohjelmistoista.

Lisäksi Apple kertoo, että se lahjoittaa hyväntekeväisyyteen vastaavan summan mitä se maksaa bugipalkkiona haavoittuvuuksien löytäjälle.

Jos raportin mukana ei ole kattavaa esitystä haavoittuvuudesta, toimivaa esimerkkiä sen hyödyntämiseksi sekä neuvoja Applelle haavoittuvuuden hyväksikäytön toistamiseksi, voidaan maksettavia palkkioita laskea tai pidättäytyä palkkion maksamisesta kokonaan.

Lisätietoa Applen bugipalkkio-ohjelmasta ja esimerkiksi eri haavoittuvuuskategorioiden palkkiosummista löytyy Applen sivuilta.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla