今日、セキュリティはどのシステムにおいても不可欠な問題であり、定義上 100% 安全なシステムなど存在しないため、企業がセキュリティを改善するためにどれだけ投資したり努力したとしても、それだけでは不十分であることは明らかです。このため、Microsoft、Facebook、Google などの企業は、これらの企業のシステムに欠陥を発見した研究者が責任者に報告することを奨励するセキュリティ報奨金プログラムを用意しており、それによって当該研究に対して (当然以上の) 金銭的な報酬を得ることができます。
問題は、提供される報酬が闇市場で重大なセキュリティエラーにかかる費用を下回っている場合であり、おそらく研究者は光の側ではなく邪悪な道を選択することになります。 Apple はすでに 2016 年 8 月に報奨プログラムを開始しており、特定の重大なエラーに対して最大 20 万ドルを支払っています。
しかし12月20日、Appleは前回のWWDCですでに発表した新しい特典プログラムを(誰でも参加できるように)公開すると発表した。 Apple プラットフォームに関する 2019 年秋のセキュリティ ガイドの発行に伴い、すべてのセキュリティ文書の更新を伴うプログラムです。このガイドは、このリンクから参照できます。
このプログラムの開始、最終的な報酬、プラットフォーム全体の新しいセキュリティ ドキュメントを発表したのは、Apple のセキュリティ アーキテクチャおよびエンジニアリングの責任者である Ivan Krsticです。ここでは、新しいプログラムとその各カテゴリの意味を分析します。
Apple がさまざまな障害に対して支払う金額は次のとおりです。
サービスの種類 | セキュリティエラーの種類 | 褒美 |
|---|---|---|
物理デバイスによる攻撃 | ロック画面をスキップする | 100,000ドル |
ユーザーデータの抽出 | 250,000ドル | |
ユーザーがインストールしたアプリを介したデバイスへの攻撃 | 機密データへの不正アクセス | 100,000ドル |
カーネルコードの実行 | 100,000ドル | |
CPUに対する「サイドチャネル」攻撃 | 250,000ドル | |
ユーザー操作によるネットワーク攻撃 | ワンクリックで機密データに不正アクセス | 150,000ドル |
ワンクリックでカーネル内でコードを実行 | 250,000ドル | |
ユーザーの介入を伴わないネットワーク攻撃 | 物理デバイスに近接したカーネルに対する無線クリックレス攻撃 | 250,000ドル |
不正な機密データへのクリックなしのアクセス | 50万ドル | |
永続性とカーネル PAC の通過を伴うカーネル内でのクリックレス コード実行 | 100万ドル |