4 phút để đọc
Mới đây, tại hội thảo Black Hat thường niên, Apple đã công bố nâng mức thưởng tối đa lên 1,000,000 USD cho bất kỳ ai hack được sản phẩm của hãng. Đây là số tiền lớn nhất mà một ông lớn chi trả cho hacker để nhận được báo cáo lỗ hổng trên các sản phẩm của mình.
Tại hội thảo bảo mật Black hat thường niên ngày hôm qua, Apple thông báo đã cập nhật “luật chơi” của chương trình Bug Bounty thông qua một số thay đổi lớn được trình bày trong bản tóm tắt.
Và cập nhật hấp dẫn nhất là…
Apple đã tăng mạnh mức thưởng cho chương trình Bug Bounty của mình, từ 200.000 đô lên tới 1 triệu đô – tính đến nay là mức thưởng cao nhất mà một ông lớn công nghệ trả cho các báo cáo lỗ hổng liên quan đến sản phẩm của họ.
1 triệu USD cho 1 lỗ hổng
Giải thưởng 1 triệu đô sẽ được trao cho ai khai thác được lỗ hổng nguy hiểm nhất – lỗ hổng zero click kernel code, được cho là có khả năng kích hoạt sự kiểm soát kernel của thiết bị một cách toàn bộ và liên tục. Những lỗ hổng ít nghiêm trọng hơn sẽ được phần thưởng nhỏ hơn.
Hơn nữa,
Từ giờ trở đi, chương trình bug bounty của Apple không chỉ giới hạn ở việc tìm lỗ hổng cho hệ điều hành của iOS mobile mà còn mở rộng ra cho tất các các hệ điều hành của hãng này, bao gồm macOS, watchOS, tvOS, iPadOS và iCloud.
| Loại | Cụ thể | Mức thưởng |
| Truy cập trái phép vào dữ liệu của các tài khoản iCloud trên các Apple servers | $100.000 | |
| Tấn công vật lý | Phá khóa màn hình | $100.000 |
| Khai thác dữ liệu của người dùng | $250.000 | |
| Truy cập trái phép vào những thông tin có giá trị của người dùng | $100.000 | |
| Tấn công qua app mà người dùng cài đặt | Thực thi kernel code | $150.000 |
| Tấn công CPU side channel vào dữ liệu quan trọng của người dùng | $250.000 | |
| Tấn công mạng đòi hỏi sự tương tác của người dùng | Tấn công one click vào dữ liệu quan trọng của người dùng | $150.000 |
| Thực thi kernel code one-click | $250.000 | |
| Tấn công mạng không cần sự tương tác của người dùng | Tấn công sóng zero-click vào lõi kernel trong khoảng cách gần | $250.000 |
| Tiếp cận zero-click vào các dữ liệu quan trọng của người dùng | $500.000 |
Bất kỳ ai cũng có thể nhận thưởng
3 năm trước kể từ khi bắt đầu, các chương trình bug bounty của Apple chỉ trao thưởng cho những chuyên gia bảo mật và thợ săn bug nào tìm được lỗ hổng trong hệ điều hành iOS. Điều này sẽ được thay đổi vào mùa thu, khi những chính sách mới được áp dụng.
Theo đó, bất kỳ ai cũng có thể ứng tuyển tham gia tìm lỗi trong các sản phẩm của Apple và nhận thưởng.
Bạn hứng thú chứ? Bạn sẽ có cơ hội nhận một chiếc iPhone đặc biệt từ Apple đấy…
Kể từ năm sau, Apple sẽ trao những iPhones đã bị jailbrake cho một bộ phận chuyên gia bảo mật đáng tin cậy. Đây là một phần của chương trình Nghiên cứu bảo mật thiết bị iOS, được đề cập lần đầu trên Forbes.
Những chiếc iPhone này khác iPhone mà khách hàng dùng ở chỗ, nó cho phép được thâm nhập sâu hơn, bao gồm việc tiếp cận đến shh, root shell và có khả năng debug tiên tiến. Điều này khiến các chuyên gia bảo mật có thể săn các lỗ hổng ở mức Secure Shell.
Mặc dù ai cũng được tham gia ứng cử để nhận những chiếc iPhones đặc biệt này, Apple sẽ chỉ trao một lượng giới hạn cho những chuyên gia đạt yêu cầu.
Không đủ hấp dẫn ư? Sẽ có thưởng thêm
Bên cạnh phần thưởng lớn nhất là 1 triệu đô, Apple sẽ thưởng thêm 50% cho chuyên gia nào tìm được lỗ hổng trong bản dùng thử của một phần mềm và báo cho Apple trước khi phổ biến rộng rãi. Điều này nâng tổng tiền thưởng lên tới 1.5 triệu đô la.
Bạn cũng có thể apply cho chương trình bug bounty của Apple sắp tới trong năm nay. Nó sẽ được mở ngỏ cho tất cả các đối tượng chuyên gia, thay vì chỉ giới hạn cho một đội ngũ chuyên gia bảo mật được chấp thuận bởi Apple.
Việc Apple mở rộng phạm vi và tăng thưởng trong chương trình bug bounty lần này được cho là sẽ được nhiều chuyên gia bảo mật và thợ săn bug hưởng ứng. Đây là những người thường công khai tiết lộ những lỗ hổng mà họ tìm được trong các sản phẩm của Apple, hoặc bán thông tin lỗ hổng cho những bên tận dụng khai thác lỗ hổng zero-day vì lợi nhuận, như Zerodium, Cellebrite và Grayshift.
>> Tham gia Cộng đồng chuyên gia bảo mật WhiteHub để Săn lỗi & Kiếm thêm thu nhập lên tới hàng chục triệu đồng mỗi tháng.