-
- 04/07/2025, 18:45
- SHARE
epa11615092 A customer checks the new iPhone 16 model before buying at an Apple Store in Bangkok, Thailand, 20 September 2024. According to Apple Inc, the new iPhone 16 features Apple Intelligence – the new platform for artificial intelligence (AI) capability, larger display sizes, new creative capabilities as well as an innovative camera. The new iPhone 16 is widely available for purchase in Thailand from 20 September with a cheaper price tag than the previous iPhone 15 model, resulting from a stronger Thai baht against the US dollar, which analysts believed could drive iPhone sales growth in Thailand. Apple has an approximately 14 percent market share, with an increasing annual growth by 53 percent in Thailand’s smartphone market, according to Canalys, the global technology market analyst firm. EPA/RUNGROJ YONGRIT Photo: ΑΠΕ-ΜΠΕ
Η Αpple έχει πρόγραμμα που καλεί ερευνητές κυβερνοασφάλειας και hacker να εντοπίσουν ευπάθειες στο iOS. Όποιος τα καταφέρνει, αμείβεται αναλόγως.
της Νίκης Μπάκουλη
Η Apple προσφέρει τα προϊόντα της στις τιμές που τα προσφέρει και γιατί, όπως υποστηρίζει, εγγυώνται την ασφάλεια σε έναν ψηφιακό κόσμο που βάλλεται από παντού.
Η αυτοπεποίθηση της έχει να κάνει με το πρόγραμμα που “τρέχει” από το 2016 και απευθύνεται σε ανθρώπους με ξεχωριστές ικανότητες. Τους καλεί να πάρουν τον έλεγχο ενός iPhone.
Όποιος τα καταφέρει, γίνεται εκατομμυριούχος.
Επειδή ευπάθειες που επιτρέπουν επιθέσεις στις συσκευές της εταιρείας είναι δύσκολο να εντοπιστούν και ικανές να προκαλέσουν τεράστια ζημιά, η Apple ενθαρρύνει τους υπεύθυνους ασφαλείας (ή και χάκερ) να τις αναφέρουν σε εκείνη, αντί να τις πουλήσουν στη «μαύρη αγορά».
Το πρόγραμμα της Apple που μοιράζει εκατομμύρια
Το bug bounty program (Πρόγραμμα Επιβράβευσης Σφαλμάτων) αρχικά λειτουργούσε με προσκλήσεις προς συγκεκριμένους ειδήμονες και είχε ως έπαθλο εύρεσης κρίσιμων ευπαθειών ασφαλείας του λογισμικού του τεχνολογικού κολοσσού έως 200.000 δολάρια.
To 2019 έγινε επέκταση του προγράμματος. Άνοιξε σε όλους τους ερευνητές ασφαλείας και η μέγιστη επιβράβευση αυξήθηκε σε 1.000.000 δολάρια.
Το 2024 προστέθηκε ανταμοιβή για εντοπισμό ευπαθειών στο σύστημα Private Cloud Compute (PCC), το οποίο χρησιμοποιείται για την επεξεργασία εντατικών αιτημάτων του Apple Intelligence, με “έπαθλο” από 50.000 έως 1.000.000 δολάρια.
Φέτος ανέβασε το ποσό στα 1.500.000 δολάρια για σφάλματα σε λογισμικό beta και έως 2.000.000 δολάρια για για ευπάθειες που παρακάμπτουν το Lockdown Mode.
Την μεγαλύτερη επιβράβευση έχουν όσα αναφέρονται στη λίστα των “ειδικών περιπτώσεων”.
Η τελευταία προσθήκη σε αυτήν έγινε πριν ένα μήνα και είναι η επίθεση που έχει το όνομα zero-click full chain kernel execution attack with persistence.
Ανήκει στους σύνθετους τύπους επίθεσης, στον τομέα της κυβερνοασφάλειας και για αυτό όποιος επιτύχει σχετική επίθεση θα πάρει 2.000.000 δολ.
Το Zero-click σημαίνει πως η επίθεση δεν απαιτεί καμία αλληλεπίδραση από τον χρήστη (δεν χρειάζεται click σε κάποιο link, να ανοίξουμε αρχείο ή να κάνουμε μια εγκατάσταση). Εκτελείται αυτόματα, μέσω ενός κακόβουλου μηνύματος που φτάνει στη συσκευή μας και εκμεταλλεύεται μια ευπάθεια χωρίς να το καταλάβουμε.
Το Full chain υποδηλώνει ότι η επίθεση εκμεταλλεύεται μια σειρά από ευπάθειες σε διαφορετικά επίπεδα του συστήματος (π.χ. εφαρμογές, λειτουργικό σύστημα, υλικολογισμικό) για να υλοποιήσει τον στόχο της. Είναι ολοκληρωμένη επίθεση που συνδυάζει πολλαπλά στάδια.
Το Kernel execution αναφέρεται στην ικανότητα της επίθεσης να αποκτήσει πρόσβαση και να εκτελέσει κώδικα τον πυρήνα του λειτουργικού συστήματος (π.χ. iOS ή macOS), που ελέγχει τα πάντα στη συσκευή.
Το With persistenc σημαίνει ότι η επίθεση δεν είναι προσωρινή. Ακόμα και αν η συσκευή επανεκκινηθεί, η κακόβουλη πρόσβαση παραμένει.
Δηλαδή, ο χάκερ παίρνει τον πλήρη έλεγχο της συσκευής χωρίς ο χρήστης να κάνει το παραμικρό.
Ο ΦΟΙΤΗΤΗΣ ΠΟΥ ΣΕ ΕΣΩΣΕ ΚΑΙ ΠΗΡΕ 100.500 ΔΟΛΑΡΙΑ
Η Αpple δεν έχει ανακοινώσει τους “νικητές”, με τους έχοντες γνώση να εξηγούν πως υπογράφονται εμπιστευτικές συμφωνίες.
Πληροφορίες ωστόσο, αναφέρουν ότι έχει πληρώσει ποσό μεγαλύτερο των 20.000.000 δολαρίων, στο πλαίσιο του bug bounty program από το 2016 έως σήμερα. Η μέση πληρωμή είναι στα 40.000 δολάρια. Έχουν γίνει πάνω από 20 πληρωμές ποσού άνω των 100.000 δολαρίων.
Το μεγαλύτερο ποσό το έχει πάρει ο Ryan Pickren, ένας φοιτητής κυβερνοασφάλειας και πρώην μηχανικός της Amazon Web Services. Έλαβε φέτος από την Apple 100.500 δολάρια, το μεγαλύτερο ποσό που έχει δώσει ο κολοσσός σε αυτήν την κατεύθυνση.
Το 2020 είχε ανακαλύψει ευπάθεια στην κάμερα των iPhones και των Mac. Τώρα εντόπισε έναν άλλο ιό κάμερας που αφορούσε όλες τις συσκευές της εταιρείας και επέτρεπε σε χάκερ να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες του χρήστη, μέσω του iCloud και του Safari σε Gmail, Facebook, Zoom και Paypal.
Η ευπάθεια έδινε πρόσβαση σε όλους τους λογαριασμούς του web και τις πληροφορίες, συμπεριλαμβανομένου του iCloud. Έδινε και άδεια χρήσης της κάμερας και του μικρόφωνου, οπότε ο χάκερ μπορούσε να ακούει και να βλέπει τι κάνει ο χρήστης.
O Pickren δημοσίευσε στο blog του τις λεπτομέρειες της δουλειάς του.
ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΕΣ ΕΙΔΗΣΕΙΣ:
- Από πρωτοπόρος σε… απούσα. Το μεγάλο λάθος της Apple με τη Siri
- Χτύπημα στους χρήστες iPhone. Οι 3 λειτουργίες του iOS 26 που δεν έρχονται στην Ευρώπη