Apple thưởng 1 triệu USD cho bất kỳ ai hack được iPhone

Các nhà nghiên cứu bảo mật đã, đang, và sẽ tìm ra lỗ hổng trong macOS sẽ được Apple trao tiền thưởng trong thời gian tới.

Trong khuôn khổ hội nghị Black Hat đang diễn ra tại Las Vegas, Hoa Kỳ, gã khổng lồ Cupertino đã chính thức tuyên bố sẽ mở rộng quy mô các chương trình tìm lỗi bảo mật nhận tiền thưởng hiện hành nhằm đảm bảo quyền lợi của các nhà nghiên cứu bảo mật khi tham gia tìm kiếm lỗ hổng trong các hệ thống phần mềm của công ty. Thay vì chỉ áp dụng với iOS như ở thời điểm hiện tại, chương trình tìm lỗi bảo mật nhận tiền thưởng còn có thể được áp dụng với cả macOS, tvOS, watchOS và iCloud trong thời gian tới.

Trước đây, chương trình tìm lỗi bảo mật nhận tiền thưởng chỉ được áp dụng cho iOSTrước đây, chương trình tìm lỗi bảo mật nhận tiền thưởng chỉ được áp dụng cho iOS

Ngoài ra mức thưởng cũng sẽ được nâng lên tối đa 1 triệu đô la cho những lỗ hổng nghiêm trọng, chẳng hạn như lỗi bảo mật có thể dẫn đến một cuộc tấn công thực thi mã kernel toàn chuỗi, zero-click…

Apple bắt đầu triển khai chương trình tìm lỗi bảo mật nhận tiền thưởng từ 3 năm trước và chỉ áp dụng đối với iOS. Đúng như tên gọi của chương trình, các nhà nghiên cứu bảo mật sẽ được trả tiền cho bất cứ lỗ hổng nào mà họ tìm thấy trong hệ điều hành di động Apple và cung cấp thông tin đầy đủ cho Táo khuyết. Số tiền thưởng nhiều hay ít sẽ phụ thuộc vào tính nghiêm trọng cũng như độ phức tạp của lỗ hổng.

Tuy cũng là một sản phẩm quan trọng của Apple và sở hữu lượng người dùng đông đảo trên toàn thế giới, nhưng kỳ lạ là chương trình tìm lỗi bảo mật nhận tiền thưởng lại chưa bao giờ được áp dụng cho macOS. Điều này khiến cộng đồng các nhà phát triển macOS không hài lòng. Họ cảm thấy công sức mà mình bỏ ra bị xem nhẹ, và sau 3 năm, Apple cũng đã phải lắng nghe ý kiến từ cộng đồng. Chương trình trả tiền thưởng lỗi của Apple, sau khi được mở rộng quy mô, gần như chắc chắn sẽ được áp dụng với cả macOS - một động thái tuy hơi muộn màng, nhưng cần thiết!

Apple vẫn nên nâng cao hơn nữa mức thưởng cho các lỗi bảo mật được phát hiện và báo cáoApple vẫn nên nâng cao hơn nữa mức thưởng cho các lỗi bảo mật được phát hiện và báo cáo

Bên cạnh đó, iCloud, tvOS, iPadOS và watchOS nhiều khả năng cũng sẽ được đưa vào danh sách áp dụng chương trình tìm lỗi bảo mật nhận tiền thưởng. Apple hiện đang tỏ ra cực kỳ quan tâm đến việc tối ưu hóa các sản phẩm phần mềm của mình theo hướng tận dụng tiềm lực từ bên ngoài. Khoản tiền thưởng lỗi của Apple cho các nhà nghiên cứu bảo mật hiện đang ở mức tối đa 200.000 đô la cho các lỗ hổng đặc biệt nghiêm trọng, nhưng dự kiến có thể tăng gấp 5 lần, lên mức 1 triệu đô la trong thời gian tới.

Chẳng hạn nếu bạn tìm thấy một lỗ hổng iOS cho phép kẻ tấn công điều khiển điện thoại mà không cần đến bất kỳ tương tác nào của người dùng, số tiền tương đương với khoảng 23 tỉ đồng kia sẽ thuộc về bạn!

Việc mở rộng quy mô chương trình tìm lỗi bảo mật nhận tiền thưởng là một động thái cần thiết, cho thấy sự quan tâm của Apple với những đóng góp từ các nguồn lực bên ngoài hệ thống nội bộ, đồng thời có thể giúp thuyết phục nhiều nhà nghiên cứu bảo mật tham gia báo cáo các lỗ hổng trên phần mềm Apple hơn, từ đó chất lượng sản phẩm và trải nghiệm người dùng cũng sẽ được cải thiện đáng kể.

Tuy nhiên theo đánh giá của các chuyên gia, trong thời gian tới, Apple vẫn nên nâng cao hơn nữa mức thưởng cho các lỗi bảo mật được phát hiện và báo cáo. Mức thưởng 1 triệu USD với một lỗi bảo mật đặc biệt nghiêm trọng nêu trên không hề nhỏ, tuy nhiên những lỗi bảo mật dạng này thường có giá trị hơn khi được rao bán trên thị trường chợ đen. Đó là vấn đề mà Apple buộc phải suy xét một cách nghiêm túc.

Trong vài năm trở lại đây, các chương trình tìm lỗi bảo mật nhận tiền thưởng đang được nhiều công ty phát triển phần mềm lớn áp dụng nhằm tận dụng tối đa nguồn nhân lực bên ngoài hệ thống, qua đó tối ưu hóa các sản phẩm của mình, có thể kể đến như Apple, Microsoft, Facebook và Apple…

"Thợ săn lỗ hổng bảo mật" đang là một trong những ngành nghề mới nổi, nhận được nhiều sự quan tâm"Thợ săn lỗ hổng bảo mật" đang là một trong những ngành nghề mới nổi, nhận được nhiều sự quan tâm

Cũng chính nhờ các chương trình kiểu này mà một loại hình nghề nghiệp mới đã được hình thành trong lĩnh vực bảo mật, có thể hiểu nôm na là nghề “săn lỗi hệ thống”. Tóm lại, đây là cách làm cần được nhân rộng. Nó đem lại lợi ích cho không chỉ nhà phát triển phần mềm, nhà nghiên cứu bảo mật tự do, mà còn cho cả người dùng bởi sản phẩm cuối cùng trở nên thân thiện và an toàn hơn.

Thứ Sáu, 23/08/2019 12:18
55 👨 101