- „Apple“ sumokės iki 1 mln. JAV dolerių, jei saugumo tyrėjai ras PCC saugumo spragas
- „Apple“ įsitikinusi savo platformos saugumu, todėl leido ją išmėginti specialistams
- Ieškoti „Apple“ PCC spragų kviečiami visi saugumo ir privatumo tyrėjai
„Apple“ sumokės iki 1 mln. JAV dolerių, jei saugumo tyrėjai ras PCC saugumo spragas
„Apple“ atvėrė duris visiems elektroninio saugumo tyrėjams, kviesdama juos išbandyti savo Privačiojo debesies kompiuterinės platformos (PCC) saugumą. Technologijų milžinė siūlo iki 1 mln. JAV dolerių atlygį bet kuriam asmeniui, kuris suras pažeidžiamas sritis šiame debesijos sprendime, palaikančiame „Apple Intelligence“ dirbtinio intelekto funkcijas.
Šis pasiūlymas paskelbtas kaip tik tuo metu, kai visi laukia pagrindinio „iOS 18.1“ atnaujinimo. Jis pirmą kartą apims „iPhone AI“ pažangias dirbtinio intelekto galimybes, įskaitant „Siri“ balso asistento patobulinimus.
Manoma, jog „Apple“ dirbtinio intelekto sprendimai yra kur kas saugesni ir privatesni už kitų išmaniųjų telefonų gamintojų siūlomus variantus[1]. Pvz., tokius kaip „Google Android“ ekosistemoje naudojamas „Samsung“ „hibridinis DI“.
Teigiama, kad „Apple“ ypatingą dėmesį skiria vartotojų duomenų apdorojimui pačiame įrenginyje, o ne debesyje. Tik esant sudėtingesnėms užklausoms duomenys yra nukreipiami į Privačią debesijos platformą (PCC). Šis sprendimas paremtas individualiai sukurtu „Apple“ silicio serveriu ir griežta operacine sistema, kuri sukurta būtent privatumui užtikrinti.
„Apple“ įsitikinusi savo platformos saugumu, todėl leido ją išmėginti specialistams
„Apple“ savo PCC vadina „pažangiausia saugos architektūra, kuri kada nors buvo įdiegta debesies DI mastu“.
Siekdama parodyti, jog yra užtikrinta šios platformos patikimumu, bendrovė nusprendė suteikti galimybę saugumo tyrėjams išbandyti platformos atsparumą pažeidimams ir rasti spragas. Šioms pastangoms paremti, „Apple“ įdiegė virtualią tyrimų aplinką, kuri leidžia tyrėjams patiems išbandyti ir analizuoti PCC funkcionalumą.
„Per kelias savaites po to, kai pristatėme „Apple Intelligence“ ir PCC, mes suteikėme nepriklausomiems auditoriams ir atrinktiems saugumo tyrėjams ankstyvą prieigą prie išteklių, kuriuos sukūrėme, įskaitant PCC virtualią tyrimų aplinką“, – paaiškino „Apple“ naujame tinklaraščio įraše.
Ieškoti „Apple“ PCC spragų kviečiami visi saugumo ir privatumo tyrėjai
O spalio 24 dieną „Apple“ paskelbė šiuos išteklius viešai prieinamais ir pakvietė visus saugumo bei privatumo tyrėjus – arba visus, kurie domisi ir smalsauja apie techninius dalykus – prisidėti prie platformos patikrinimo. Bendrovė nurodo, kad jų tikslas yra „sužinoti daugiau apie PCC ir leisti tyrėjams savarankiškai patikrinti mūsų teiginius“.
„Apple“ tuo pačiu plečia savo saugumo pažeidimų atlygio programą (ang. Apple Security Bounty), įtraukdama į ją PCC ir siūlydama „reikšmingą atlygį“ už bet kokius pranešimus apie galimas problemas, kurios gali kelti grėsmę saugumui ar privatumui.
Bendrovės siūlomas atlygis už PCC spragų radimą yra išties įspūdingas. Už didelius pažeidimus, leidžiančius „nuotolinę prieigą prie duomenų užklausos“, bendrovė siūlo 1 mln. JAV dolerių už rastas atsitiktinio kodo vykdymo spragas. Tuo tarpu už prieigą prie vartotojo užklausos duomenų ar jautrios informacijos, esančios už saugos ribų, skiriama 250 tūkst. JAV dolerių[2].
„Apdovanojame didžiausiomis sumomis už pažeidžiamumus, kurie kompromituoja vartotojų duomenis ir pateikia užklausų duomenis už [PCC] pasitikėjimo ribų“, – sakė „Apple“.
Už atakas, kurios reikalauja „privilegijuotos padėties“ – kai tyrėjas turi tiesioginę prieigą prie kito vartotojo „iPhone“ – bendrovė siūlo 150 tūkst. JAV dolerių atlygį, jei šios spragos suteikia prieigą prie vartotojo duomenų ar kitos jautrios informacijos už saugumo ribų.
„Kadangi mums labai rūpi bet koks vartotojų privatumo ar saugumo kompromisas, mes apsvarstysime visas saugumo problemas, turinčias reikšmingos įtakos PCC ir galime skirti atlygį net tuo atveju, jei spraga neatitinka paskelbtų kategorijų“, – teigė „Apple“.
„Apple“ nurodo, kad kiekvienas pranešimas bus vertinamas pagal jame pateiktos informacijos kokybę, įrodymus apie tai, kaip galima išnaudoti spragą ir galimą poveikį vartotojams. Saugumo tyrėjai, susidomėję šia programa, gali apsilankyti „Apple Security Bounty“ puslapyje, kad sužinotų daugiau informacijos ir pateiktų savo tyrimų rezultatus. Ši „Apple“ iniciatyva yra ne tik inovatyvus būdas užtikrinti aukščiausio lygio PCC saugumą, bet ir puiki galimybė saugumo tyrėjams prisidėti prie itin svarbių privatumo apsaugos sprendimų kūrimo.
