Appleは、セキュリティ報奨金プログラムの対象範囲と報奨金の拡大を発表しました。当初は招待制でしたが、今後はすべてのセキュリティ研究者の参加を推奨しています。さらに、AppleのOSおよびサービスにおいてこれまで知られていなかった脆弱性を発見した研究者は、最大150万ドルの報奨金を獲得できます。これは、従来の20万ドルの上限から大幅に引き上げられた額です。
今年初め、Appleのセキュリティエンジニアリング責任者であるイヴァン・クルスティッチ氏は、ネバダ州ラスベガスで開催されたBlack Hatカンファレンスで、セキュリティ報奨金プログラムの改善計画について概説しました。講演の中でクルスティッチ氏は、Appleがアクセスと報奨金の額を拡大すると述べました。プログラムの対象範囲と報奨金の額を拡大することで、Appleは発見された脆弱性が悪意のある者の手に渡る可能性を抑制することができるでしょう。
対象となるには、問題がAppleのリリース済みオペレーティングシステムの最新バージョンの標準構成で発生している必要があり、該当する場合は公開されているハードウェア上で発生している必要があります。研究者は、Apple製品セキュリティ部門に問題を最初に報告する必要があり、その他の要件も満たしている必要があります。
報奨金は、iCloud、物理アクセスによるデバイス攻撃、ユーザーがインストールしたアプリによるデバイス攻撃、ユーザーインタラクションによるネットワーク攻撃、ユーザーインタラクションなしのネットワーク攻撃の5つの大まかなカテゴリーに分かれており、最大支払額はiCloudエクスプロイトに対する10万ドルから、「永続性とカーネルPACバイパスを備えたゼロクリックカーネルコード実行」に対する100万ドルまでとなっている。
Appleは「Appleにとって未知の、指定された開発者ベータ版とパブリックベータ版に特有の問題(リグレッションを含む)」に対しても50%のボーナスを提供しているため、最大150万ドルの支払いが可能になる可能性がある。
Appleは、金銭的な報奨金に加えて、有効なレポートを提出した研究者を公に表彰すると発表しました。また、報奨金と同額を、対象となる慈善団体に寄付する予定です。詳細はAppleの開発者向けサイトをご覧ください。
Appleのより寛大な条件は、同社のOSセキュリティをさらに強化するのに役立つでしょうか?それとも、これは単なる見せかけだと思いますか?コメント欄でご意見をお聞かせください。
![スムージースパマーがInstagramユーザーをハッキング [更新]](https://image.milawo.com/kabmbfjj/6d/b4/Instagram-App-of-the-Year.webp)
