Apple cho hacker mượn chiếc iPhone đặc biệt để tìm kiếm lỗ hổng iOS

Apple đã thông báo chính thức về Chương trình Thiết bị Nghiên cứu Bảo mật Apple trên trang blog chính thức dành riêng cho các nhà phát triển. Nhờ có chương trình này mà các tin tặc sẽ được phép thoải sức tìm kiếm lỗ hổng trong hệ điều hành iOS thông qua chiếc iPhone đặc biệt mang tên SRD. Tuy nhiên, nó đó không thể thực hiện các chức năng như điện thoại thông thường.

Thiết bị nghiên cứu an toàn (SRD) là thiết bị có hình dáng giống iPhone nhưng ít được bảo mật hơn và chỉ có tính năng thực hiện lệnh code. Đặc biệt, chỉ có người được Apple chấp thuận mới có quyền truy cập vào SDR.

Các SDR sẽ ở lại với các hacker trong vòng 1 năm và chúng vẫn là tài sản của Apple. Sau 1 năm, các hacker sẽ phải trả lại chiếc iPhone đó. Tuy nhiên, hacker nào đã "lỡ yêu" chiếc iPhone đó rồi thì có thể thỏa thuận với Apple để được gia hạn thêm thời gian.

Để có được chiếc iPhone đặc biệt này, bạn cần có tài khoản nhà phát triển của Apple và từng có kinh nghiệm tìm các lỗ hổng. Những hacker ở các quốc gia như Mỹ, Nhật Bản, Úc và một số các nước thuộc EU như Đức, Anh, Ý... sẽ được nhận SDR từ Apple.

Các thành viên của chương trình cũng sẽ có quyền truy cập vào tài liệu nâng cao và được tham gia vào diễn đàn chuyên dụng để kết nối với các kỹ sư của Apple.

Được biết đây là một phần trong cam kết nâng cao hiệu quả bảo mật của Apple, chương trình này được khởi động để các hacker tìm ra lỗ hổng và cải thiện bảo mật cho tất cả phiên bản iOS sắp tới. Cũng sẽ là dịp để nhiều nhà phát triển mới đến gần hơn với iPhone và giúp nâng cao hiệu quả về bảo mật trên iOS cùng những nhân viên đang làm việc tại trụ sở Cupertino của Apple.

Nếu trong trường hợp, hacker sử dụng SRD để tìm, kiểm tra, xác thực, xác minh hoặc xác nhận lỗ hổng, hacker phải báo cáo kịp thời cho Apple, còn nếu lỗi thuộc code của bên thứ 3, thì sẽ thông báo cho bên thứ 3. Ngoài ra, mỗi hacker tìm được lỗi sẽ có cơ hội nhận được phần thưởng cho chương trình Apple có tên gọi "Tiền thưởng bảo mật Apple".

Cụ thể, các lỗi như hạn chế kiểm soát trái phép tài khoản iCloud, ứng dụng truy cập trái phép vào dữ liệu nhạy cảm với lượng nhỏ, nếu phát hiện sẽ được thưởng 100.000 USD. Trong khi đó, các lỗi ít nghiêm trọng khác như truy cập dữ liệu "nhạy cảm" trái phép từ màn hình khóa hay thực thi mã can thiệp đến nhân thiết bị cũng sẽ được nhận mức từ 100.000 USD đến 250.000 USD.

Đối với các lỗi tấn công vào CPU, tấn công mạng, tấn công thiết bị thông qua truy cập vật lý hay qua ứng dụng do người dùng cài đặt, mức thưởng 150.000-500.000 USD. Đặc biệt, nếu hacker sử dụng hình thức tấn công mạng mà không có sự tương tác của người dùng, đồng thời thực thi mã hạt nhân bằng cách nhấp chuột 0 lần và bỏ qua hạt nhân PAC, giải thưởng lên tới 1 triệu USD.

Ai cũng muốn nhận được số tiền thưởng trên, nhưng các hacker phải đáp ứng không ít yêu cầu khắt khe. Một bản báo cáo đầy đủ tiêu chí gồm: Vấn đề được báo cáo đầu tiên, được khai thác một cách hợp lý, đầy đủ thông tin cho Apple.

Đối với các lỗi nhận tiền thưởng tối đa, công ty Mỹ còn đòi thêm các yếu tố khác, như: ảnh hưởng đến nhiều nền tảng, tác động đến phần cứng và phần mềm mới nhất, tác động đến các thành phần nhạy cảm...