Apple, Mevcut Ödül Avı Programını Maksimum Ödülü 1 Milyon Dolara Yükselterek Genişletti

Apple, kendi yazılım ve donanımlarındaki güvenlik açıklarını tespit edenleri ödüllendireceği Bug Bounty (Ödül Avı) programını cezbedici ödüllerle genişletti. 2016’da başlatılan ve her alanda faaliyet gösteren güvenlik araştırmacılarını kapsayan program, artık macOS, tvOS, watchOS işletim sistemlerini ve iCloud bulut platformunu da kapsıyor.

Apple’ın açıkladığı programa ilişkin yeni ‘ödül tarifesi’ de duyuruldu. Buna göre en yüksek ödül miktarı iOS güvenlik açıklarını ilgilendiriyor.  Güvenlik açıklarını tespit eden beyaz şapkalı hacker’lara 1 milyon doları bulabilen ödüller verileceği birkaç ay önce basına yansımıştı. Yeni detaylar ile birlikte söylentiler de doğrulandı.

Programın bilgilendirme sayfasında amaçlar, ödül ve kurallar hakkında bilgiler yer aldı.

Listede, kullanıcı etkileşimi olmadan ağ saldırılarına neden olabilecek güvenlik açıklarının tespiti en yüksek ödül aralığını kapsıyor.

Sıfır gün (Zero-day) saldırılarının önüne geçilmesini sağlayacak kritik tespitlerin ödülü 250 bin dolar ile 1 milyon dolar arasında değişiyor.

Açıkların kapsamına dair kısa bilgiler eşliğinde fiyatlar belirtiliyor. Bilgilendirme sayfasındaki İngilizce açıklamaların Türkçe’si aşağıda yer alıyor.

iCloud – Apple sunucularındaki iCloud hesap verilerine izinsiz erişim

• Fiziksel erişim yolu ile cihaz saldırısı

– Kilit ekranı bypass (atlatma)

– Kullanıcı verisi dışa aktarma

• Kullanıcı tarafından yüklenen uygulama üzerinden cihaz saldırısı

– Hassas veriye izinsiz erişim

– Kernel kodu çalıştırma

– CPU (merkezi işlemci birimi) kanal saldırısı

• Kullanıcı etkileşimi ile ağ saldırısı

– Hassas veriye bir tıklama izinsiz erişimi

– Tek tık ile kernel kodu çalıştırma

• Kullanıcı etkileşimi olmadan ağ saldırısı

– Kernel’e, proksimite ve radyo sinyali ile tıklama olmadan erişim – Zero-click ile hassas veriye izinsiz erişim

– Israrlı ve kernel PAC bypass (atlatma) ile Zero-click kernel kod uygulaması

Ödül alabilmek için şartlar

Apple’dan ödül alabilmek için beyaz şapkalı hacker’ların şirket tarafından sunulan yazılımların en son versiyonlarını incelemeleri gerekiyor. Bağlantılı olarak, yazılımın kullanıldığı cihazın da güncel modelini kullanma şartı bulunuyor (araştırılan güvenlik açığına göre donanım modeller değişebilir).

Geliştirme sürecindeki ve beta versiyonundaki yazılımlarda bulunacak açıkları tespit eden güvenlik araştırmacılarını da %50 bonus bekliyor. Bunun en büyük sebebi, Apple’ın son kullanıcıya ulaşmadan önce güvenlik açıklarını ortadan kaldırmak istemesi şeklinde gösteriliyor.

Not düşülmesi gereken bir faktör, Apple’ın ödüllendirme sürecinde son derece titiz olması. Ödül avcılığına soyunarak güvenlik açığı tespit ettiğini öne süren yazılımcılar da dahil olmak üzere tüm ilgililerin başvuru sürecini eksiksiz yerine getirmesi gerekiyor.

Zero day nedir?

Bir yazılımda güvenlik açığı bulunduğu sırada, daha öncesinde siber korsanların söz konusu açığı keşfedip kullandıklarının ortaya çıkması durumu şeklinde tanımlanır.