Az Apple, mint a legtöbb nagy technológiai cég, már 2016 óta vezet a fehérkalapos hackereket célzó bug bounty programot, amelynek lényege, hogy a biztonsági szakemberek a cég szoftvereiben talált hibák felelősségteljes feltárásáért kapnak díjakat.

A hivatalosan múlt csütörtökön a Black Hat információbiztonsági konferencián bejelentett változások alapján az eddiginél is nagyobb hangsúlyt fektetnek majd az iOS és a többi almás operációs rendszer, így a macOS, watchOS és tvOS biztonsági réseinek betömésére.

Ivan Krstić, a cég infosec mérnökcsapatának vezetőjének előadásából kiderült, hogy az eddigi 200 000 dollár helyett mostantól akár 1 milliót is elvihet az a szerencsés – pontosabban hozzáértő –, aki felhasználói interakció nélkül működő sebezhetőséget talál az iOS kernelében (azaz a rendszer szívét képező, a hardverrel közvetlenül együttműködő egyik legalacsonyabb szintű komponensben). Az ennél alacsonyabb díjakra is jár továbbá egy 50%-os bónusz azokban az esetekben, amikor még béta szoftverben sikerül valakinek sebezhetőséget találnia.

Krstić szerint a bug bounty program eddig is nagyon sikeresnek mondható: 3 évvel ezelőtti indulása óta mintegy 50 súlyos hibát jelentettek azon keresztül az Apple felé.

A hétszámjegyű összeg persze mesés vagyon, és a nagy szoftvercégek ajánlatai közül jelenleg a legmagasabb jutalmat jelenti, viszont még így sem tud teljes mértékben konkurálni az exploitpiacot vezető kormányzati szervekkel. A Forbes különböző forrásokra hivatkozva azt írja: a különböző “hárombetűs” ügynökségek számára nagyjából évente egy vagy két alkalommal kelnek el durva biztonsági hibákat kihasználó kódok akár másfél-kétmillió dollárért is.

Reméljük, a jó- és rosszfiúk közötti harc kimenetelét az a tény is a jók oldalára billenti majd, hogy ősztől az eddig kizárólag meghívásos alapú részvétel mindenki előtt megnyílik.