Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Apple zapłaci nawet milion za informację o dziurach

Recommended Posts

Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.

Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.

Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Gdyby był b ardziej popularny, to pewnie ilość znalezionych dziur zwiększyła by się. Tak samo jak w Windows. Lepiej szukać luk tam, gdzie istnieje ryzyko ataku na dużą ilość urządzeń. Teraz przyjęło się, że IOS jest nie do złamania. Podobnie jest z każdym niszowym systemem. Linuksa też ciężko złamać, ale czym bardziej znana dystrybucja, tym więcej osób używa i jest sens włamywania się i szukania luk. Pewnie z IOS byłoby tak samo.

Share this post


Link to post
Share on other sites
Posted (edited)

To prawda, że popularność ma znaczenie, ale IOS ma prężną branżę zeroday, tylko się o nich tak często nie słyszy. Są sprzedawane brokerom i korzystają z nich 3-literowe agencje. Linuks nie jest tak bezpieczny, jak się może wydawać. Sam korzystam od ponad 15 lat i kiedyś - bardzo dawno - tak myślałem, ale niektóre opublikowane krytyczne luki dają do myślenia ;-)

Przypomniał mi się ten artykuł z listopada 2017 o 40 podatnościach w podsystemie USB ;-)
https://www.theregister.co.uk/2017/11/07/linux_usb_security_bugs/

Quote

Monday, Google security researcher Andrey Konovalov disclosed 14 Linux USB flaws found using syzkaller, a kernel fuzzing tool developed by another Google software engineer, Dmitry Vyukov.

Quote

That's just the tip of the iceberg. In an email to The Register, Konovalov said he asked for CVEs for another seven vulnerabilities on Tuesday, and noted there are something like 40 that have not been fixed or triaged.

 

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Posiadanie szczeniaka wiąże się nie tylko z przyjemnościami, ale i z pewnymi uciążliwościami. Młode psy często gryzą meble, są nieposłuszne, mogą być agresywne. Dlatego też wielu właścicieli bardzo szybko rozpoczyna ich tresurę. Autorzy najnowszych badań ostrzegają jednak, że nawet dość łagodne karanie psa – krzyk czy szarpanie smyczą – podczas takiego treningu może spowodować, że wyrośnie on na bardziej pesymistycznie nastawione zwierzę, niż gdy tresura oparta jest na nagrodach.
      Tresura oparta na karach może być skuteczna w krótkim terminie, jednak takie metody mają negatywne konsekwencje na przyszłość. Tak szkolone psy żyją w ciągłym stresie, mówi biolog ewolucyjny Marc Bekoff z University of Colorado w Boulder, który nie był zaangażowany w najnowsze badania.
      Już z wcześniejszych badań wiemy, że tresura oparta na karach i tresura oparta na nagrodach zdają egzamin, jednak tresura oparta o kary może nieść negatywne konsekwencje. Jednak badania takie były przeprowadzane na psach policyjnych i laboratoryjnych, a nie na domowych pupilach. Ponadto metodą karania było założenie obroży rażącej psa prądem. Obroże takie są zakazane w wielu krajach.
      Ana Catarina Vieira de Castro z Uniwersytetu w Porto postanowiła sprawdzić, jak na tresurę opartą o kary reagują psy domowe. W tym celu wzięła pod lupę 42 psy ze szkół tresury, w których stosowano nagrody oraz 50 psów, które przechodziły tresurę opartą o kary. W pierwszym przypadku psy zachęcano do odpowiedniego zachowania dając im przysmaki czy pozwalając się bawić, w drugim zaś przypadku zwierzęta karano krzykiem, szarpaniem smyczy, a uczenie np. siadania polegało na naciskaniu bioder.
      Badacze nagrywali zachowanie psów w czasie tresury i testowali ich ślinę przed i po sesji tresury pod kątem występowania w niej hormonu stresu, kortyzolu. Psy przechodzące tresurę polegającą na karaniu wykazywały więcej zachowań typowych dla stresu, takich jak oblizywanie pyska, ziewanie, odnotowano też u nich wyższy poziom kortyzolu po powrocie do domu. Psy, których trening polegał na nagrodach, nie wykazywały ani zmian zachowania, ani zmian poziomu kortyzolu.
      Uczeni postanowili sprawdzić, czy skutki tresury utrzymywały się dłużej. Sprawdzili więc, jak 79 z tych psów reagowało na nagrodę w postaci przysmaku. Najpierw nauczyli zwierzęta, by kojarzyły jedną stronę pokoju z przysmakiem. W tej części pokoju znajdowała się bowiem miska z nagrodą. W drugiej części miska była pusta.
      Po takim treningu umieszczali pustą miskę w różnych pozycjach pomiędzy obiema częściami i obserwowali, w jaki sposób psy do niej podchodziły. Psy nastawione optymistycznie szybko podbiegały do miski, wykazując przy tym radośc. Psi pesymiści podchodzili znacznie wolniej. Takie zachowanie wskazuje na występowanie u psów lęku separacyjnego i innych zaburzeń osobowości. Zaobserwowano, że im więcej treningu opartego na karze, tym silniejsze objawy takich zaburzeń.
      Autorzy badań podkreślają, że nie sprawdzali, która z metod treningowych przynosi lepsze wyniki. Jednak ich eksperyment wyraźnie pokazuje, że właściciele psów powinni unikać tresury awersyjnej, polegającej na karaniu zwierzęcia. Jeśli zdecydujemy się, by naszego psa tresował ktoś obcy, powinniśmy zatem najpierw wypytać go o stosowane metody i porozmawiać z osobami, których psy miały już do czynienia z tym treserem.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Inżynierowie Google'a ostrzegają przed błędami w przeglądarce Chrome. Jeden z nich to dziura typu zero-day, jest zatem aktywnie wykorzystywana przez cyberprzestępców. Błędy znaleziono w Chrome dla wszystkich platform.
      Google nie zdradza szczegółów najgroźniejszego błędu. Firma zapowiedziała, że poinformuje o nich dopiero, gdy błąd zostanie załatany przez większość użytkowników. Jeśli jednak okaże się, że dziura istnieje też w bibliotekach firm trzecich, to informacja na jej temat może zostać wstrzymana.
      Luka zero-day została oznaczona jako CVE-2019-13720. Wiadomo jedynie, że jest ona podobna do innej znalezionej właśnie luki, CVE-2019-13721. Obie pozwalają na doprowadzenie do awarii podsystemu pamięci i przejęcia kontroli nad systemem. O ile jednak CVE-2019-13721 występuje w bibliotece PDFium, to CVE-2019-13720 to podatność w komponencie audio Chrome'a.
      Wszystkie dziury mają zostać załatane w wersji 78.0.3904.87 Chrome'a dla systemów Windows, Mac i Linux.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Nadchodzący rok zapowiada się niezwykle ekscytująco dla miłośników Apple'a. Po długotrwałym uśpieniu koncern z Cupertino może pokazać kilka interesujących innowacji.
      Najprawdopodobniej doczekamy się pierwszej od 2017 roku poważnej rozbudowy iPhone'a. Smartfony, które zadebiutują w przyszłym roku mają obsługiwać 5G, otrzymać znacznie bardziej wydajny procesor oraz tylną kamerę 3D. Dzięki niej telefon będzie lepiej orientował się w przestrzeni, co z kolei pozwoli na lepszą obsługę aplikacji do rzeczywistości rozszerzonej, które nakładają wirtualne przedmioty na prawdziwe otoczenie. To zaś pozwoli użytkownikom, na przykład, zobaczyć jak ich mieszkanie będzie wyglądało po przemeblowaniu jeszcze zanim zdecydują się na zakup nowych mebli.
      Tego typu aplikacje są niezbędne do obsługi dług oczekiwanych okularów do wirtualnej rzeczywistości. W przyszłym roku powinno bowiem zadebiutować też takie właśnie urządzenie autorstwa Apple'a. Okulary mają synchronizować się z iPhone'em i wyświetlać w polu widzenia użytkownika wiadomości tekstowe, e-maile, mapy czy gry. Podobno w okularach ma zostać zintegrowany też App Store. Apple już od pewnego czasu zatrudnia specjalistów od grafiki i developerów gier, których celem jest rozwijanie produktów dla okularów. Jeśli zostaną one dobrze przyjęte, to niewykluczone, że w przyszłości zastąpią iPhone'a. Użytkownicy nie powinni jednak zbytnio przywiązywać się do przyszłorocznej daty debiutu. Apple nie wyprodukowało jeszcze aplikacji, która uczyni z okularów rynkowy przebój. Jeśli zatem menedżerowie firmy zdecydują, że jest jeszcze za wcześnie, to rynkowy debiut okularów zostanie przełożony. Apple najwyraźniej nie chce powtórzyć błędu Google'a, którego Glass okazały się porażką.
      Okulary do rzeczywistości rozszerzonej mogą jednak w najbliższych latach stać się rynkowym przebojem. Pracują bowiem nad nimi zarówno Facebook jak i Amazon, zatem giganci uznali najwyraźniej, że rynek jest gotowy na tego typu produkt.
      Zapowiadane na przyszły rok innowacje są w dużej mierze związane z technologią 5G. Największy, najbardziej znaczący wzrost rynkowy będzie napędzany częściowo przez pojawienie się 5G. Wraz z 5G pojawił się popytna 5G i ci producenci smartfonów, którzy nie będą korzystali z tej technologii, pozostaną z tyłu, mówi Patrick Moorhead z firmy konsultingowej Moor Insights & Strategy.
      Odżyły też pogłoski, że Apple ma zamiar produkować komputery Mac z własnym procesorem. Prawdopodobnie byłby to układ ARM, bardziej wydajny i energooszczędny od obecnie stosowanych CPU. Nie od dzisiaj wiadomo, że Apple chce mieć pod kontrolą zasadnicze elementy swoich produktów, a procesory do komputerów niewątpliwie do takich elementów należą. Tutaj jednak trzeba brać poprawkę na fakt, że informacje o apple'owskim procesorze dla maszyny Mac pojawiają się od co najmniej 7 lat.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      NASA otrzymała... dwie nagrody Emmy, przyznawane za produkcję telewizyjną. Podczas ceremonii, które odbyły się w Microsoft Theatre w Los Angeles amerykańska Akademia Telewizyjna przyznała Agencji nagrody za relacje z pierwszego testu załogowego pojazdu, który zawiezie astronautów na Międzynarodową Stację Kosmiczną oraz relacje z misji marsjańskiej.
      Najpierw 14 września zespół z NASA i SpaceX otrzymał główną nagrodę w kategorii Outstanding Interactive Program za multimedialną relację z Demonstration Mission 1. To testowy lot kapsuły załogowej Crew Dragon firmy SpaceX na Międzynarodową Stację Kosmiczną. To jednocześnie pierwszy od 2011 roku start z terytorium USA pojazdu, który jest gotowy do misji załogowych.
      Demonstration Mission 1 to część prowadzonego przez NASA Commercial Crew Program, w ramach którego NASA pomaga prywatnym firmom rozwijać technologie wynoszenia astronautów na MSK, by w przyszłości zlecać eksplorację bliskich okolic Ziemi firmom prywatnym, a samemu móc się skupić na badaniu głębszych obszarów kosmosu.
      Kolejnego wieczora, 15 września, należące do NASA Jet Propulsion Laboratory (JPL) otrzymało główną nagrodę w kategorii Outstanding Original Interactive Program za relację z marsjańskiej misji InSight (Interior Exploration using Seismic Investigations, Geodesy and Heat Transport). Szeroko zakrojone działania informacyjno-edukacyjne prowadzono na stronach WWW, serwisach społecznościowych i w telewizji. InSight to pierwsza misja, której celem jest badanie głęboko położonych obszarów we wnętrzu Marsa.
       

       


      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Apple oskarża Google'a o próbę wywołania strachu u wszystkich użytkowników iPhone'ów poprzez rozpowszechnianie fałszywej informacji jakoby doszło do wielkiego ataku na iPhone'y.
      Przypomnijmy, że na przełomie sierpnia i września google'owski Project Zero poinformował o odkryciu licznych witryn, które prowadzą szeroko zakrojone ataki na iPhone'y. Tymczasem, jak informuje rzecznik prasowy Apple'a Fred Sainz, atak był prowadzony na niewielką skalę, a badacze Google'a znaleźli zaledwie kilka witryn skierowanych do zamieszkującej Chiny mniejszości ujgurskiej, które atakowały swoich użytkowników.
      Wystarczy odwiedzić witrynę, by zostać zaatakowanym, napisał na blogu Project Zero jeden z pracowników Google'a Ian Beer. Udany atak pozwalał na ustalenie lokalizacji telefonu oraz kradzież zdjęć i haseł. Beer dodał, że ataki są prowadzone od co najmniej dwóch lat.
      Apple nie zaprzecza tym informacjom, jednak zauważa, że przedstawiciele Google'a pominęli ważne informacje. Po pierwsze ataki trafały dwa miesiące, nie dwa lata. Po drugie, były prowadzone przeciwko mniejszości ujgurskiej w Chinach, co wskazuje na działania chińskiego rządu, i nie można ich nazwać szeroko zakrojonymi. Ponadto, jak twierdzi Apple, te same witryny atakowały też użytkowników Windows i Androida, ale Google o tym nie wspomniał. Przedstawiciele Google'a tłumaczą, że nic nie wiedzieli o atakach na Androida.

      « powrót do artykułu
×
×
  • Create New...