Apple의 보안 엔지니어링 책임자인 Ivan Krstić는 오늘 오후 라스베이거스에서 열린 Black Hat 컨퍼런스에서 Apple이 macOS, tvOS, watchOS, iCloud 및 iOS 기기를 포괄하는 확장된 버그 바운티 프로그램을 도입한다고 밝혔습니다.
Apple은 2016년 8월 iOS 기기용 버그 바운티 프로그램을 도입하여 iOS에서 버그를 찾은 보안 연구원이 Apple에 취약점을 공개한 대가로 현금을 받을 수 있도록 했습니다. 지금까지 비 iOS 장치는 포함되지 않았는데, 이는 이전에 보안 커뮤니티에서 비판을 받은 조치였습니다.
Apple에 macOS 버그 포상금 프로그램이 없다는 사실은 올해 초 독일 십대가 처음에 Apple에 지불금이 없었기 때문에 주요 macOS Keychain 보안 결함에 대한 세부 정보 제공을 거부했을 때 헤드라인을 장식했습니다. 그는 궁극적으로 Apple에 정보를 제공했지만, 그의 거부가 Apple이 실제로 수행한 버그 포상 프로그램을 확장하도록 영감을 주기를 희망한다고 말했습니다.
새로운 macOS 버그 포상금 프로그램의 출시와 함께 Apple은 올해 후반에 모든 연구원에게 버그 포상금을 개방하고 있으며 보안 결함의 성격에 따라 익스플로잇당 포상금의 최대 규모를 200,000달러에서 100만 달러로 늘리고 있습니다. 지속성이 있는 제로 클릭 커널 코드 실행은 최대 금액을 획득합니다.
일반 출시 전에 시험판 소프트웨어의 취약점을 발견한 연구원은 기본 버그 포상금에 추가로 최대 50%의 보너스를 받을 수 있습니다.
보고된 대로 이번주 초 , Apple은 또한 검증되고 신뢰할 수 있는 보안 연구원과 해커에게 'dev' iPhone, 즉 취약성을 더 쉽게 발견할 수 있도록 기본 소프트웨어 및 운영 체제에 대한 더 깊은 액세스를 제공하는 특수 iPhone을 제공할 계획입니다.
Apple은 내년에 출시되는 새로운 iOS 보안 연구 장치 프로그램의 일환으로 이러한 iPhone을 제공하고 있습니다. 이러한 새로운 버그 현상금 노력에 대한 Apple의 목표는 추가 보안 연구원이 취약점을 공개하도록 장려하여 궁극적으로 소비자를 위한 더 안전한 장치로 이어지는 것입니다.
(고맙습니다, SecuritySteve!)
인기 게시물