Отсутствие программы bug bounty сыграло с Apple злую шутку

в 8:41, , рубрики: apple, Блог компании ESET NOD32

Известно, что в отличие от своих конкурентов, таких как Google и Microsoft, у Apple отсутствует понятие bug bounty, т. е. денежного вознаграждения за обнаруженные уязвимости в своих продуктах. К основным продуктам, которые больше всего притягивают ресерчеров, относятся операционные системы OS X и iOS, а также веб-браузер Safari. Также как и в других случаях обнаружения существенных уязвимостей в ядре для jailbreak, последний кейс с значительной уязвимостью в криптографических алгоритмах сервисов компаниия, также, судя по всему, не стал исключением. Уязвимость была обнаружена исследователями университета Johns Hopkins и была исправлена Apple в вышедших обновлениях для OS X, iOS и watchOS.

Отсутствие программы bug bounty сыграло с Apple злую шутку - 1

Издание NY Times отмечает, что недавно запланированное разбирательство в суде, где представители ФБР должны были встретиться с менеджерами Apple, было отложено из-за того, что некая фирма предложила ФБР свой способ извлечения зашифрованных данных с iDevice. Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.

На сегодняшний день очень многие компании выплачивают денежные вознаграждения исследователям безопасности за поиск уязвимостей в продуктах и сервисах. Кроме вышеупомянутых Google и Microsoft, другие такие компании как Facebook, Twitter, Mozilla, Yandex, Uber также имеют bug bounty. Google уже заплатила исследователям безопасности более $6 млн. за обнаруженные уязвимости. Компания также предлагает $100 тыс. за обнаружение серьезной уязвимости в Chromebook.

Компания Microsoft также имеет свою систему bug bounty, причем за обнаружение существенной уязвимости в веб-браузере или ОС, она выплачивает $100 тыс. Например, к таким кейсам относятся, обнаруженные концептуальные уязвимости, которые позволяют обходить т. н. mitigation методы, используемые в Windows для блокирования эксплойтов по умолчанию (DEP, ASLR, CFG, SEHOP, и др.). Одним из победителей такого крупного bug bounty стал известный специалист @tombkeeper компании Tencent Xuanwu Lab.

Такая ситуация неприемлема для Apple, которая не предлагает подобной программы, а значит не стимулирует ресерчеров на поиск уязвимостей, что сказывается и на репутации Apple как компании. Кроме включения их имен в бюллетени безопасности, ресерчеры ничего не получают от компании.

Отсутствие программы bug bounty сыграло с Apple злую шутку - 2
Рис. Фрагмент из бюллетеня безопасности рассылки security-announce (APPLE-SA-2016-03-21-5 OS X El Capitan 10.11.4 and Security Update 2016-002), в которой Apple анонсирует исправление существенной уязвимости в iMessage. Детали уязвимости см. здесь.

Это создает ситуацию, при которой security-компаниям, специализирующимся на поиске уязвимостей в продуктах различных вендоров, выгодно придерживать свои эксплойты для продажи и не уведомлять о них компанию. Недавние события стали тому подтверждениям, когда по инициативе правоохранительных органов, судебное разбирательство с Apple было отложено из-за предложения одной из таких фирм ФБР предоставить инструмент по взлому iDevice и извлечения оттуда данных без знания passcode.

Ранее мы отмечали, что в связи с террористическим актом в США, спецслужбы захотели получить законное основание для получения инструмента по расшифровке данных с устройств под управлением iOS. С такой ситуацией не согласилась Apple и дело дошло до суда, а также большой полемики в обществе. Apple не торопиться вставлять бэкдор в iOS, поскольку прекрасно понимает какое негодование это может вызвать у пользователей. Сотрудники также грозят Apple увольнением в том случае, если компания пойдет на уступки.

Автор: ESET NOD32

Источник

Поделиться новостью

* - обязательные к заполнению поля