Apple は、 Black Hatカンファレンスの最終日を利用して、 iOS 13 と macOS のセキュリティ オプションについて詳しく話し合いました。たとえば、両方のオペレーティング システムの Find My 機能は、近くの Apple デバイスを利用してコンピュータを見つけるのに役立ちます。 。
この講演の中で、Apple のセキュリティ エンジニアリングおよびアーキテクチャ責任者である Ivan Krstić 氏は、同社のさまざまなサービスでセキュリティ ホールを発見した人に対する報奨プログラムの興味深い数字について言及しました。
このプログラムは、tvOS や macOS を含むすべてのプラットフォームに拡張されました。 Apple は、ユーザーの介入なしでコードが実行される最も重大な脆弱性に対して、最大 100 万ドルを支払うと発表しました。
Apple はセキュリティ上の欠陥を報告するためにいくら支払いますか?
| 褒美 | ||
|---|---|---|
| Apple サーバー上の iCloud アカウント データへの不正アクセス | 100,000ドル | |
| 物理的アクセス攻撃 |
画面ロック解除
ユーザーデータの抽出 |
100,000ドル
250,000ドル |
| ユーザーがインストールしたアプリケーションを介した攻撃 |
価値の高いユーザーデータへの不正アクセス
カーネルコードの実行 価値の高いユーザーデータに対する CPU サイドチャネル攻撃 |
100,000ドル
150,000ドル 250,000ドル |
| ユーザーの操作を必要とするネットワーク攻撃 |
ワンクリックで価値の高いユーザーデータに不正アクセス
ワンクリックでカーネルコードを実行 |
150,000ドル
250,000ドル |
| ユーザーの介入を伴わないネットワーク攻撃 |
物理的に近接したカーネルまでの半径 (クリックなし)
価値の高いユーザーデータへのアクセス (クリックなし) カーネルコードを永続的に実行する (クリックなし) |
250,000ドル
50万ドル 100万ドル |
3 年間で影響の大きい脆弱性が 50 件発生
Krstić氏によると、2016年以来、影響力の大きい脆弱性を50件受け取ったという。最近、Google Project Zeroセキュリティチームは、 iOSの6つの重大なセキュリティ上の欠陥を明らかにしたが、そのほとんどはAppleによって修正されており、これらは報奨金の最高カテゴリーに入る。
2 人の Project Zero エンジニアが結果を公開しましたが、そのうちの 1 人については iOS 12.4 で完全に解決されていないため詳細が伏せられていました。この動きを踏まえ、セキュリティ報酬も提供している一部の企業は、これらのエクスプロイトはユーザーが気づかないうちに iPhone をハッキングできるため、攻撃者の間で非常に人気があるため、これらのエクスプロイトの価値は 200 万ドルから 400 万ドルになる可能性があると示唆しました。
参考資料一覧
- https://twitter.com/lorenzofb