애플, Black Hat USA 2016에서 Bug Bounty 프로그램 출시

애플은 마침내 버그 현상금 프로그램을 가지고있다.

이 회사의 보안 엔지니어링 및 아키텍처 책임자 인 이반 크 르틱 (Ivan Krstic)은 8 월 4 일 밤 라스 베이거스에서 열린 블랙 햇 USA 2016 해커 대회에서 드문 공개적으로 초청 프로그램을 발표했습니다.

모든 애플 제품의 엔드 - 투 - 엔드 보안을 책임지고있는 팀의 크루 스틱 (Krstic)은 목요일에 발표 된 "iOS 보안의 배경"이라는 버그에 대해 최대 20 만 달러를 지불 할 것이라고 말했다.

보상은 해킹에 따라 다릅니다. 샌드 박스에 저장된 앱 데이터에 액세스하는 데 최대 $ 25,000의 가치가 있으며, 보안 부팅 펌웨어 구성 요소를 손상 시키면 최대 $ 200,000를 얻을 수 있습니다.

보안 취약성을 은밀하게 악용하는 대신 공개하는 해커에 대한 보상은 점차 보편화되고 있습니다. Uber에서 국방부에 이르기까지 모든 사람들이 그렇게합니다.

연구원의 선의에 의존하지 않고 버그 공개에 대한 보상 제공에 이르기까지의 애플의 변화는 2015 년 샌 버나 디노 총격 사건과 연결된 iPhone 5c의 해킹에 의해 촉발 될 가능성이 높습니다. 대중은 해킹에 대해 거의 알지 못하고 있으며, 아이폰에.

블랙 햇 참석자 Robert McCarthy Tweeted:

청중: "FBI가 귀하의 지위에 어느 정도 영향을 미쳤습니까?"

이반 크레스틱: "나는 기술적 인 질문에 대답하는 엔지니어 다."

애플이이 사건을 돕기를 거부했을 때 아이폰을 해킹하기 위해 여전히 알려지지 않은 제 3자를 지불 한 FBI조차도 그 장치가 어떻게 훼손되었는지 알지 못한다. FBI의 제임스 코 메이 (James Comey) FBI 국장은 비용이 얼마나 들었는지조차 알지 못했을 수도있다.

그 모호함은 FBI가 장치에서 아무 것도 찾지 못해서 더 중요합니다. 이것은 세계의 법 집행 기관 중 하나가 알 수없는 회사에 알 수없는 금액의 돈을 제공하여 알려지지 않은 해킹을 수행하여이를 수행 할 수 있음을 입증하고 iPhone 5c를 사용하는 모든 사람이 위험에 처하지 않음을 의미합니다.

버그 현상금 프로그램을 통해 애플은 이러한 변수 중 일부를 제거하고 제품의 보안을 강화할 수 있습니다. 그러나이 프로그램이 수십 명의 연구원으로 시작하여 초청으로 만 확장되는 것은 이상한 일입니다. 버그 현상금 프로그램의 요점은 대개 가능한 한 많은 사람들이 여러 가지 보안 기능을 둘러보고 그들이 무엇을 해결할 수 있는지 알아 보는 것입니다.

애플은 시간이 지남에 따라 더 많은 사람들을 프로그램에 초대하고, 다른 채널을 통해 심각한 취약점을보고하는 사람을 "초대"할 계획이지만, 지금은 애플이 버그 발런티 풀에 발을 담그고있는 것 같다. 이것은 종종 신중한 회사의 특징이지만 가능한 한 빨리 보상을 위해 경쟁하기를 원한다면 낙담 할 것입니다.

아직도, 이것은 애플에게 뚜렷한 진전이다. 처음에는 Black Hat USA와 같은 행사에 Krstic이 나타났습니다. iOS 10 커널을 암호화하지 않기로 결정한 것과 같은 다른 변화와 함께 San Bernardino 에피소드의 유산은 그림자를 벗어나기 위해 기꺼이 애플 제품이 될 수 있으므로 제품을 사용하는 많은 사람들을 조금 더 안전하게 유지할 수 있습니다.