برنامج فضل أبل Bug يُفضِّل الجودة على الكمية

بعد سنوات من العزوف عن دفع أموال للباحثين عن عمليات الاستغلال ، قدمت شركة Apple استعدادًا لتسليم ما يصل إلى 200000 دولار أمريكي بسبب نقاط الضعف الحرجة الموجودة في أحدث إصدار من نظام التشغيل iOS وأحدث أجهزة iPhone.

أعلنت شركة أبل عن البرنامج يوم الخميس في مؤتمر Black Hat للأمن في لاس فيغاس. يبدأ هذا البرنامج في شهر سبتمبر ، وعلى عكس برامج المكافآت التي تديرها شركات التكنولوجيا الكبرى الأخرى ، سيتم دعوته فقط.

سيبدأ البرنامج مع بضع عشرات من الباحثين الذين اختارتهم أبل ، على الرغم من أن أي شخص خارجي يقدم عيبًا مؤهلاً يمكنه تلقي مكافأة ووجه الدعوة للانضمام إلى البرنامج ، قال إيفان كرستيتش ، رئيس شركة آبل للهندسة والهندسة المعمارية.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

"ليس الهدف منه أن يكون حصريًا "وقال:" قال أبل:

قالت أبل انها مستعدة لمضاعفة دفعات للباحثين الذين يتبرعون بمكافأتهم لمؤسسة خيرية. وقال أنه ليس من الضروري أن تفعله أبل بالضرورة. ولكنه قال إنها بداية جيدة وشيء يمكن أن تستفيد منه أبل.

بعض الشركات "لا تريد حقاً الدخول في حرب مزايدة مع الحكومات والمنظمات الإجرامية الممولة جيدًا ، وبعضها على استعداد لدفع ما يصل إلى وقال موغل في أحد المدونات: "هناك ملايين الدولارات لمآثر معينة".

يمكن أن ينتج عن برامج فضلات العلف الكثير من الضجيج في شكل تقارير منخفضة الجودة لا تؤدي بالضرورة إلى إصلاحات للأخطاء ، يستهلك موارد هندسية للتحقيق ،

يعتقد <موجول> أن برنامج آبل يركز على النوعية على الكمية وله هدف واضح: العثور على أخطاء مستغلة في مجالات رئيسية من أجهزة iOS التي تعتبر أولوية عالية. كما أنه يجبر الباحثين على إثبات تأثير أي عيوب يعثرون عليها من خلال استغلال إثباتات مفهوم العمل. هذا أصعب من مجرد تقديم الخلل التي قد تكون حرجة وتركها للتحقيق في الشركة.

ستدفع أبل ما يصل إلى 200000 دولار بسبب العيوب الحرجة في مكونات البرامج الثابتة التمهيدية ، حتى 100000 دولار للمآثر التي يمكنها استخراج المواد السرية من الآمنة معالج Enclave - الشريحة الآمنة التي تقوم بعمليات تشفير في iPhone 5s وما بعده ، 50.000 دولار للأخطاء التي يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عشوائية مع امتيازات kernel ، 50،000 $ لطرق الوصول إلى بيانات حساب iCloud على خوادم Apple دون إذن ، و 25000 دولار لنقاط الضعف التي توفير الوصول من داخل عملية وضع الحماية لبيانات المستخدم خارج هذا الصندوق.

يعكس هيكل المكافآت صعوبة العثور على كل نوع من أنواع العيوب الخمسة ، حسبما قال كرستيتش.

لم يكن لدى أبل دائمًا أفضل علاقة مع مجتمع الأمن. في الوقت الذي يقر فيه العديد من الباحثين بالأمن القوي لمنتجات آبل ، فإنه غالباً ما يتعرض لانتقادات للطريقة التي يتواصل بها حول القضايا الأمنية ، أو لعدم التواصل بشكل كافٍ. كما تعد شركة Apple واحدة من آخر الشركات الكبرى التي تطلق برنامج مكافآت أمنية.

نقاط الضعف التي يمكن أن تؤثر بشكل كامل على نظام iOS ، وتصدر بعضًا من أعلى الأسعار في السوق الرمادية. عندما تم طرح نظام التشغيل iOS 9 ، عرض أحد الوسطاء الذين يستغلون الوكالات الحكومية بين عملائه مليون دولار أمريكي لسرقة الهروب المستندة إلى المتصفح - وهو استغلال يمكن أن يكتسب حق الوصول إلى iOS ببساطة عن طريق زيارة موقع على شبكة الإنترنت. كما قام مكتب التحقيقات الفيدرالي (FBI) أيضًا بشراء مخترع iOS من المتسللين للوصول إلى البيانات الموجودة على جهاز الآي فون المقفل سيد فاروق ، أحد الرماة في سان برناردينو.

سألهم الجمهور في بلاك هات لماذا انتظرت أبل وقتًا طويلاً لإطلاق المكافأة يقول Krstić أن الشركة قد سمعت من الباحثين أن العثور على نقاط الضعف الحرجة أمر صعب بشكل متزايد ، وأنها تريد مكافأة أولئك الذين يأخذون الوقت للقيام بذلك.