Thông tin trên được Apple công bố tại hội nghị Black Hat ngày 4/8 diễn ra tại Las Vegas.
Dự kiến ra mắt vào tháng Chín, chương trình này sẽ trao các phần thưởng tiền mặt cho người tìm ra các lỗ hổng trên các phiên bản mới nhất của iOS hoặc các thiết bị phần cứng thế hệ mới nhất.
Đây là lần đầu tiên Apple áp dụng một cách rõ ràng chương trình thưởng tiền mặt cho việc phát hiện lỗ hổng, mặc dù công ty này đã duy trì lâu dài một chương trình trả tiền "tip" (tiên boa) cho tiết lộ về bảo mật.
Chương trình tiền thưởng phát hiện lỗi đã trở thành một cách ngày làm càng phổ biến của nhiều công ty để khuyến khích người dùng, các nhà lập trình tìm, phát hiện các lỗ hổng trong sản phẩm, để từ đó khắc phục và nâng cao chất lượng sản phẩm.
Các khoản tiền thưởng và các danh mục được thưởng bao gồm:
- Tìm ra thành phần của các secure boot firmware nhận giải thưởng lên tới 200.000 USD.
- Khai thác các dữ liệu bảo mật được bảo vệ bởi Secure Enclave Processor nhận giải thưởng lên tới 100.000 USD.
- Thực thi được các đoạn mã bất kỳ với quyền lưu tiên lõi (kernel privileges): 50.000 USD.
- Truy cập trái phép vào các dữ liệu iCloud trên máy chủ của Apple: 50.000 USD.
- Truy cập vào các quy trình được bảo về bởi sandbox để vào dữ liệu người sử dụng bên ngoài sandbox: 25.000 USD.
Các tổ chức có thể nhận tiền thưởng của Apple hoặc quyên góp số tiền này cho các quỹ từ thiện. Apple cho biết nếu các nhà nghiên cứu chọn quyên góp tiền làm từ thiện, Apple sẽ nhận trách nhiệm gửi khoản tiền này đến đúng địa chỉ.
Apple còn tuyên bố công ty cũng có thể thưởng cho các nhà nghiên cứu nếu họ phát hiện ra các lỗ hổng an ninh quan trọng dù không nằm trong danh sách trên.
Apple là một trong những công ty công nghệ lớn cuối cùng mà không có một chương trình tiền thưởng như vậy, thay vào đó họ dựa vào những phát hiện lỗi từ các đội bả mật nội bộ và các mối quan hệ chính thức với các nhà nghiên cứu.
Chương trình thưởng tiền mới của Apple sẽ bắt đầu dưới dạng lời mời, bao gồm chỉ một vài chục nhà nghiên cứu. Tuy nhiên, Apple cho biết chương trình sẽ trở nên cởi mở hơn khi nó phát triển, và nếu một người không phải là thành viên được Apple phê chuẩn mà phát hiện ra một lỗ hổng, lỗi đáng kể thì vẫn sẽ được Apple thưởng tiền và mời vào nhóm chuyên gia tham gia chương trình.
Apple cho biết việc hạn chế số người tham gia chương trình sẽ giúp hãng có được những chuyên gia đáng tin cậy và tránh được những phát hiện lỗi giả mạo.
Uber, Fiat Chrysler, và cả Bộ Quốc phòng Mỹ đã mở các chương trình tương tự trong năm nay. Nhiều công ty như Google, Microsoft và Facebook đã có những chương trình tiền thưởng trong nhiều năm. Google đã trả hơn 2 triệu USD tiền thưởng phát hiện lỗ hổng trong năm ngoái, chủ yếu là cho các lỗ hổng trong hệ điều hành di động Android.
