Apple công bố mức thưởng phát hiện lỗi bảo mật mới cao hơn, đa dạng hơn

Đúng theo kế hoạch đã đề ra, Apple vừa công bố chương trình thưởng tiền phát hiện lỗi bảo mật mới, nâng mức thưởng lên tới 1 triệu đô la trở lên cho những bất cứ chuyên gia bảo mật nào có thể tìm thấy các lỗ hổng lớn, nghiêm trọng xuất hiện trong hệ điều hành cũng như các sản phẩm thuộc hệ sinh thái phần mềm của công ty.

Chương trình thưởng tiền phát hiện lỗi bảo mật của Apple được công bố lần đầu tiên vào năm 2016, chỉ áp dụng với các nhà nghiên cứu bảo mật có nhận được giấy mời và những lỗ hổng có liên quan đến iOS. Tuy nhiên trong khuôn khổ hội nghị an ninh mạng toàn cầu Black Hat diễn ra vào tháng 8 vừa qua, Táo Khuyết đã tuyên bố mở rộng chương trình này, bao gồm thêm nhiều nền tảng khác thuộc hệ sinh thái Apple như iCloud, iPadOS, macOS, tvOS, watchOS, và đặc biệt không giới hạn số người tham gia. Tất nhiên để nhận được tiền thưởng, các nhà nghiên cứu phải gửi văn một mô tả chi tiết về lỗ hổng, bao gồm cách thức mà họ tìm ra nó, mức độ nguy hiểm cũng như những điều cần làm để đối phó với lỗ hổng.

Những mức thưởng cao nhất sẽ thuộc về các trường hợp phát hiện ra lỗ hổng đa nền tảng (ảnh hưởng cùng lúc đến nhiều nền tảng của Apple), đặc biệt là nếu lỗ hổng này có tác động tiêu cực đến các thiết bị và phần mềm mới ra mắt của Apple. Trường hợp tìm được lỗ hổng trong phiên bản beta, nhà nghiên cứu sẽ được nhận thêm 50% mức thưởng tiêu chuẩn. Một vài mức thưởng đã được quy định cụ thể bao gồm:

• 25.000 đến 100.000 đô la đối với những lỗ hổng trích xuất dữ liệu và vượt qua màn hình khóa của thiết bị.
• 25.000 đến 100.000 đô la đối với những lỗ hổng cho phép truy cập iCloud trái phép.
• 100.000 đến 250.000 đô la đối với lỗ hổng cho phép trích xuất dữ liệu nhạy cảm từ một thiết bị đã khóa
• 1 triệu đô la đối với các lỗ hổng cho phép kẻ tấn công điều khiển thiết bị từ xa.
• 1 triệu đô la đối với lỗi bảo mật có thể dẫn đến một cuộc tấn công thực thi mã kernel toàn chuỗi.

Như vậy có thể thấy mức thưởng cao nhất sẽ thuộc về các lỗ hổng zero-click, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị mà chủ sở hữu không hề hay biết. Tuy nhiên để nhận được tiền thưởng, bạn phải gửi chuỗi khai thác đầy đủ cùng với báo cáo chi tiết cho Apple.

Việc mở rộng quy mô chương trình tìm lỗi bảo mật nhận tiền thưởng là một động thái cần thiết, cho thấy sự quan tâm của Apple với những đóng góp từ các nguồn lực bên ngoài, từ đó chất lượng sản phẩm và trải nghiệm người dùng cũng sẽ được cải thiện đáng kể.