Dollármilliomosok lehetünk hibavadászattal

Tétet emelt az Apple hibavadász-programja, a fődíj immár a másfél millió dollárt is elérheti. A kivételezés egy része azonban megmarad: az almás cég által kiválasztott szakemberek olyan speciális iPhone-okat kapnak, amelyekben rendszerszintű hozzáférésük van a kernelhez.

Hosszú ideig az Apple nem ismerte el, hogy termékeiben biztonsági hibák is létezhetnek. Így nem is volt a vállalatnál olyan igazi program, mely az etikus hackereket arra ösztönözte volna, hogy a vállalatnak, és ne a fekete piacon értékesítsék az almás cég termékeiben felfedezett biztonsági hibákat. Mostantól azonban a kifizetett díjak növelésével kiemelkedik a hibavadász programok közül az almás cég programja: a maximális díjat 1 millió dollárra emelték.

Igaz, ehhez egy igazán ütős exploitot kell felfedeznie a hibavadász biztonsági szakembernek, egy zero-kattintásos kernel kód sebezhetőséget, mely teljes és állandó ellenőrzést biztosít az eszköz operációs rendszeréhez. Kevésbé veszélyes exploitokért kisebb összegeket fizetnek. Továbbá, a jutalom összegét 50 százalékkal megemelik, ha a biztonsági hibát a beta verziókban találják meg a szakemberek – vagyis elméletileg másfél millió dollárt is érhet a biztonsági szakember munkája.

Az is változás a cupertinói székhelyű vállalat programjában, hogy nemcsak az operációs rendszer mobil változatára járnak a díjak, hanem minden Apple operációs rendszerben talált és jelentett hibára fizetnek. És ha mindez nem lenne elég, a vállalat az általa kiválasztott biztonsági szakembereket egy speciális iPhone-nal látja el, melyben rendszerszintű hozzáférésük lesz a kernelhez, hogy kedvükre kutakodhassanak a biztonsági hibák után.

A felturbózott hibavadász program az összes biztonsági szakember számára nyitott lesz. A program hatására a hibák többsége vélhetően az Apple-nál landol. Eddig egyéb híján a Google Project Zero biztonsági szakemberei a nyilvánossággal osztották meg az általuk felfedezett hibákat, míg mások a biztonsági hibák kormányzati értékesítésére szakosodott biztonsági cégeknek adták el a sebezhetőségeket.

Több cég is sikerrel működtet hasonló programot (a Microsoft és Google, illetve a Samsung programjáról itt), és léteznek biztonsági szakemberek, akik a hasonló hibák megtalálásából nagyon szépen megélnek: az etikus hackerek a számítások szerint 2,7-szer jobban keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök.