Apple ขยายโครงการแจ้งช่องโหว่ความปลอดภัยรับรางวัลให้คนทั่วไปเข้าร่วม รางวัลสูงสุด 1.5 ล้านดอลลาร์

Apple มีโครงการ bug bounty เป็นแบบปิดมาตั้งแต่ปี 2016 โดยจะให้นักวิจัยที่ได้รับเชิญเท่านั้น และครั้งนี้ Apple ได้เปิดให้คนทั่วไปที่สนใจเข้าร่วมกับโครงการนี้สามารถแจ้งช่องโหว่ของแพลตฟอร์ม Apple เพื่อร่วมรับรางวัลได้ โดยรางวัลสูงสุดจะอยู่ที่ 1.5 ล้านดอลลาร์

Jim Merithew/Cult of Mac
Jim Merithew/Cult of Mac

โครงการ bug bounty ของ Apple หรือที่เรียกว่า Apple Security Bounty นั้น เริ่มต้นจะเป็นโครงการเฉพาะ iOS แต่ในปีนี้ ​Apple เพิ่งจะขยายให้รองรับแพลตฟอร์ม iPadOS, macOS, tvOS, watchOS ไปจนถึง iCloud ด้วย และการเปิดโครงการนี้คือผู้สนใจสามารถเข้าร่วมหาช่องโหว่ได้ทันที ไม่จำเป็นต้องได้รับคำเชิญจาก Apple แต่อย่างใด

ข้อสำคัญของโครงการนี้ คือช่องโหว่ต้องเป็นช่องโหว่ด้านความปลอดภัยที่มีผลกระทบต่อผู้ใช้โดยตรง (ไม่ใช่การ phishing, social engineering, บั๊กเล็ก ๆ น้อย ๆ หรืออื่น ๆ ที่ไม่เกี่ยวข้องกับความปลอดภัยของแพลตฟอร์มโดยตรง) โดยการพิจารณาจะมี 3 ปัจจัยหลัก คือ

  • ฮาร์ดแวร์หรือซอฟต์แวร์เวอร์ชันใดได้รับผลกระทบบ้าง (ยิ่งล่าสุด รางวัลยิ่งเยอะ)
  • จำนวนแพลตฟอร์มที่ได้รับผลกระทบ (กระทบหลายแพลตฟอร์ม รางวัลยิ่งเยอะ)
  • ความรุนแรงของช่องโหว่

โดยผู้ที่สนใจจะต้องส่งรายละเอียดให้ Apple มากพอที่ Apple จะเข้าใจและสร้างปัญหานั้นให้เกิดซ้ำได้

สำหรับโครงการนี้ Apple ไม่ได้จำกัดเฉพาะซอฟต์แวร์เวอร์ชันล่าสุดที่เป็น public release เท่านั้น แต่ยังเปิดให้นักพัฒนาสามารถส่งช่องโหว่เวอร์ชันเบต้าได้ด้วย และหากเป็นช่องโหว่ที่ Apple ไม่รับทราบมาก่อนอาจพิจารณาโบนัสเพิ่มจากเกณฑ์จ่ายค่าตอบแทนมาตรฐาน สูงสุด 50%

สำหรับช่องโหว่รางวัลสูงสุดตามเกณฑ์มาตรฐานที่ 1 ล้านดอลลาร์นั้น Apple จะมอบให้ช่องโหว่ประเภท zero-click หรือช่องโหว่ที่สามารถเข้าทำอันตรายที่เครื่องปลายทางได้โดยที่ผู้ใช้งานไม่ต้องทำอะไรเลย

รายละเอียดเพิ่มเติมของโครงการนี้ดูได้จาก Apple Developer

ที่มา – Apple Developer, The Verge