Thấy gì qua việc Apple lần đầu mở chương trình thưởng tiền để tìm lỗi bảo mật tối đa 200.000$

Tại sự kiện Black Hat Conference vừa diễn ra ở Las Vegas, Apple đã lần đầu tiên công bố chương trình tìm lỗi bảo mật để nhận tiền (Bug bounty). Phần thưởng cho một lỗ hổng được báo cáo và xác nhận có thể lên tới 200.000$ tùy theo độ nghiêm trọng. Trước Apple, đã có Facebook, Google, Microsoft và nhiều công ty khác mở chương trình tương tự nhằm khuyến khích các hacker tìm kiếm lỗ hổng bảo mật mà chuyên gia của hãng không thể phát hiện ra.

Vậy chúng ta có thể thấy gì qua việc này? Trước hết, bảo mật của iOS ngày nay đã trở thành một vấn đề phức tạp khi mà iPhone, iPad càng lúc càng được nhiều người sử dụng. Apple biết rằng hãng không thể chỉ dựa vào đội ngũ chuyên viên bảo mật của mình để tìm ra những lỗ hổng nằm ẩn sâu trong nhiều tầng hệ thống, từ phần cứng tới phần mềm. Rõ ràng trong thời gian qua một số lỗi cũng đã xuất hiện cho phép hacker truy cập vào iOS bằng cách vật lý hoặc nguy hiểm hơn là truy cập từ xa, và rất nhiều trong số đó được phát hiện và công bố bởi các công ty bảo mật hoặc cá nhân bên ngoài đấy thôi.

Thứ hai, thiết bị iOS ngày nay đã bắt đầu được vào các môi trường công sở. Nhóm khách hàng doanh nghiệp này cực kì nhạy cảm với vấn đề bảo mật, họ sẽ luôn yêu cầu Apple cho thấy khả năng tìm ra lỗ hổng và vá nó lại. Giả sử Apple trả lời rằng họ chỉ dựa vào đội ngũ của mình để khai thác thì chắc chắn sẽ không thể nào đấu lại Google nếu họ nói: "Android được tìm lỗ hổng bởi cả nhân viên của chúng tôi lẫn sức mạnh của cộng đồng". Đương nhiên Apple phải tìm cách làm hài lòng các doanh nghiệp thì mới có thể bán được sản phẩm chứ, nhất là khi hãng đang muốn đánh mạnh vào nhóm khách hàng này để tạo nguồn doanh thu mới thông qua việc bắt tay với IBM, SAP, Cisco.

Nhưng có một công ty tên Exodux Intelligence đang đưa ra mức giá cao hơn những gì Apple trả, tối đa đến 500.000$, để nhận được thông tin về các lỗi bảo mật của iOS và Mac. Tất nhiên, việc báo cáo cho ai là việc của hacker, nhưng rõ ràng báo cáo cho Apple thì độ tin tưởng có thể cao hơn và đảm bảo lỗ hổng sẽ được vá cũng như không bị phát tán trong trường họp xui xẻo nào đó.

Số tiền mà Apple đưa ra cho chương trình Bug Bounty của mình như sau:

Lỗ hổng liên quan tới các linh kiện boot - thưởng tối đa 200.000$
Lỗ hổng có thể dùng để trích xuất thông tin mật ra khỏi bộ xử lý Secure Enclave (trên các thiết bị có Touch ID) - thưởng tối đa 100.000$
Lỗ hổng cho phép chạy mã độc với cấp kernel - thưởng tối đa 50.000$
Lỗ hổng cho phép truy cập trái phép vào dữ liệu iCloud đặt trên máy chủ Apple - thưởng tối đa 50.000$
Truy cập và lấy được dữ liệu của người dùng trong các tiến trình được bảo vệ sandbox - thưởng tối đa 50.000$

Nguồn: 9to5Mac

thienvk

VIP

8 năm

200k USD bèo quá, các hacker trên Tinh Tế không thèm nhé

mrbodpi

TÍCH CỰC

@thienvk 😁

Trung Thanh

@thienvk Nghèo thấy mẹ bài đặt chảnh chó, tưởng đâu hack Vn nhảy vào quá ra chê ít tiền.

benchimto

GÀ

$200,000 đó, nhiều hơn gg và fb rồi. JB càng về sau càng khó. Không muốn cũng phải cỗ vũ bọn tàu vì ngoài Pangu ra không còn ai.

Carvalho1986

CAO CẤP

@benchimto Nhiều người làm được, nhưng người ta k muốn làm free thôi. Bản ios nào chả có hác cơ tung hình jaibreak được nhưng thường là họ đem lỗ hổng đó bán đi lấy tiền chứ k làm tool cho thiên hạ xài chùa

chuchadaqua

ĐẠI BÀNG

@benchimto Tại trước đây thím Cook cho tụi tàu khựa xem mã nguồn của iOS để được phép vào thị trường tung của. Ngay sau đó thì Pangu ra đời. Không biết có gì hay không nhưng mình thì nghĩ là có vấn đề.

@chuchadaqua Toàn tin đồn nhảm thôi.

NĐăng Tuyên

cơ hội kìa mấy bác 😁

@tuyenvpb mình ko cần $200k , cho mình trứng vịt lộn xào me và bịt bánh tráng trộn , ngồi trước máy tính sẽ hack dc :D

nobleded

@tuyenvpb trên thế giới mới chỉ 2 người.
Geozhot khai thác đc 1 lỗ hổng bootroom là Limera1n sau này đc redsn0w phát hành.

và ih8sn0w cũng khai thác đc 1 lỗ hổng nặng tương tự nhưng không chắc đó là khai thác bootroom hay iboot.
muốn ăn 200k không dễ đâu

zippi

😁 Nhiều khi muốn thuê bọn hacker xịn làm nhân viên thì bọn nó lại ko chịu. Thôi đành treo giải lẻ tẻ để bọn nó hợp sức cùng mình

@zippi có khi tuyển chọn nhân tài về đội nó chẳng hạn bác :D

Cu Cứng

Nói chung mấy cuộc thi này của bất kỳ hãng nào (trừ tàu) thì đều hay, cứ làm cho ngon thì người dùng được lợi ích nhất.

1311171

@killed Ai tìm ra lỗi thì hầu như là sẽ đc apple moi về cty họ làm hết. Nên mấy bạn mà báo lỗi cho apple vừa có tiếng vuằ có miếng. Hầu như toàn mấy thanh niên thần đồng nc ngoài tìm thấy thôi chứ vn thì 100 năm nuẵ 😆

p.a.tuan

IOS sẽ ngày càng bảo mật, chắc đang hướng đến người dùng doanh nghiệp và quân đội.

uthalinh

Nào .Xin mời các thánh chém của tinh té chấm.vi en vào thi thố nào .Phần thưởng cuối cùng là ...1000 like của ace cộng đồng.

KID_SAITO

@uthalinh bắt đầu rồi đấy ông bạn 😆 các thánh chém đã dần xuất đầu lộ diện rồi
mới có page 3 thôi mà đọc đã sặc hết cả nước rồi =))

If you dont mind

lấy được tiền của ông này hơi ốm đó 😁

Conjuring

Cái gì, hệ điều hành bảo mật nhất thế giới mà cũng có lỗ hổng á, một thánh cuồng phát biểu

h.hung

@carddienthoai.com Chưa thấy thánh cuồng đâu đã thấy thánh...điên xuất hiện

Bất cứ cty hay doanh nghiệp nào cũng phải có CIP (continual improvement process) để cải tiến sản phẩm của họ chứ ko chỉ riêng Apple

Apple Haters 2.01

Vì chính phủ Mỹ lại tin tưởng vào bảo mật knox của Samsung hơn. Obama dùng galaxy s4.

Snowden thì tin chắc iphone có cài sẵn phần mềm gián điệp.

Wind my love

@Apple Haters 2.01 Snowden tin chắc vậy có bằng chứng gì ko? Hay cu nghe hơi rồi cmt tào lao, cũng đâu có chất xám:D

dauemlam

@Apple Haters 2.01 Bao nhiêu người đi qua không sao, mỗi bạn đen đủi thế nào bị đớp trúng vậy, tháng cô hồn xui xẻo lắm nên chú ý nhé.

@Cupertino Macbook với ipad có gọi điện đc ko? Sao ông ấy ko dùng iphone mà dùng s4 bảo mật knox,

Thông tin bạn đưa ra chỉ càng củng cố quan điểm của tôi. 😁

Vodanh_vohinh

Duy Luân đã nói: ↑

Tại sự kiện Black Hat Conference vừa diễn ra ở Las Vegas, Apple đã lần đầu tiên công bố chương trình tìm lỗi bảo mật để nhận tiền (Bug bounty). Phần thưởng cho một lỗ hổng được báo cáo và xác nhận có thể lên tới 200.000$ tùy theo độ nghiêm trọng. Trước Apple, đã có Facebook, Google, Microsoft và nhiều công ty khác mở chương trình tương tự nhằm khuyến khích các hacker tìm kiếm lỗ hổng bảo mật mà chuyên gia của hãng không thể phát hiện ra.

Vậy chúng ta có thể thấy gì qua việc này? Trước hết, bảo mật của iOS ngày nay đã trở thành một vấn đề phức tạp khi mà iPhone, iPad càng lúc càng được nhiều người sử dụng. Apple biết rằng hãng không thể chỉ dựa vào đội ngũ chuyên viên bảo mật của mình để tìm ra những lỗ hổng nằm ẩn sâu trong nhiều tầng hệ thống, từ phần cứng tới phần mềm. Rõ ràng trong thời gian qua một số lỗi cũng đã xuất hiện cho phép hacker truy cập vào iOS bằng cách vật lý hoặc nguy hiểm hơn là truy cập từ xa, và rất nhiều trong số đó được phát hiện và công bố bởi các công ty bảo mật hoặc cá nhân bên ngoài đấy thôi.

Thứ hai, thiết bị iOS ngày nay đã bắt đầu được vào các môi trường công sở. Nhóm khách hàng doanh nghiệp này cực kì nhạy cảm với vấn đề bảo mật, họ sẽ luôn yêu cầu Apple cho thấy khả năng tìm ra lỗ hổng và vá nó lại. Giả sử Apple trả lời rằng họ chỉ dựa vào đội ngũ của mình để khai thác thì chắc chắn sẽ không thể nào đấu lại Google nếu họ nói: "Android được tìm lỗ hổng bởi cả nhân viên của chúng tôi lẫn sức mạnh của cộng đồng". Đương nhiên Apple phải tìm cách làm hài lòng các doanh nghiệp thì mới có thể bán được sản phẩm chứ, nhất là khi hãng đang muốn đánh mạnh vào nhóm khách hàng này để tạo nguồn doanh thu mới thông qua việc bắt tay với IBM, SAP, Cisco.

Nhưng có một công ty tên Exodux Intelligence đang đưa ra mức giá cao hơn những gì Apple trả, tối đa đến 500.000$, để nhận được thông tin về các lỗi bảo mật của iOS và Mac. Tất nhiên, việc báo cáo cho ai là việc của hacker, nhưng rõ ràng báo cáo cho Apple thì độ tin tưởng có thể cao hơn và đảm bảo lỗ hổng sẽ được vá cũng như không bị phát tán trong trường họp xui xẻo nào đó.

Số tiền mà Apple đưa ra cho chương trình Bug Bounty của mình như sau:

Lỗ hổng liên quan tới các linh kiện boot - thưởng tối đa 200.000$

Lỗ hổng có thể dùng để trích xuất thông tin mật ra khỏi bộ xử lý Secure Enclave (trên các thiết bị có Touch ID) - thưởng tối đa 100.000$

Lỗ hổng cho phép chạy mã độc với cấp kernel - thưởng tối đa 50.000$

Lỗ hổng cho phép truy cập trái phép vào dữ liệu iCloud đặt trên máy chủ Apple - thưởng tối đa 50.000$

Truy cập và lấy được dữ liệu của người dùng trong các tiến trình được bảo vệ sandbox - thưởng tối đa 50.000$

Nguồn: 9to5Mac

Nói về thưởng lỗ hỏng về thiết kế chắc anti apple ở tinh tế xếp hàng dài

nguyensang12

Iphone 4 tìm ra lỗi có dc thưởng ko nhỉ. 😃

@nguyensang12 Được hết, miển là iPhone Apple.
Đừng có iPhone nhái của trung cộng nha, Tim Cook bắt mầy nuốc đó.

Timkelvin

Vậy thì bảo mật ios luôn được chú trọng, mà giá này hacker tinhte chắc không ai thèm. Nâng lên tí nua apple ơi. ☺️☺️

@Timkelvin Thêm 1 thằng chê ít tiền trong khi mình không có tiền.

khanhle8x

Thấy rằng ảnh quá keo

viettien_milo

Vậy mà trc giờ mấy fan apple toàn bảo apple os bảo mật nhất thế giới. Giờ mới biết là do trc đây thiết bị của ảnh hẻo quá hacker nó ko thèm đụng đến chứ ko phải nó đụng mà ko hack đc 😆

hsdhnh

vnstockguru đã nói: ↑

Nó giống như nhà thằng giàu bị đột nhập thì cả làng trên xóm dưới đều biết chứ nhà nghèo thì nhiều khi người ta coi là hiển nhiên.

iOS rất bảo mật nhưng máy mình không hề bảo mật vì mình không có thói quen cài passcode. Mình bị mất thông tin là do iOS?

Tài khoản của CEO Facebook hay CEO Google bị hack hoàn toàn do các nhân họ hớ hênh thôi. Cả thế giới ai cũng biết.

Thế mà bao nhiêu người mất tài khoản online như facebook, gmail. yahoo thì chẳng thấy ai nhắc tới.

Nên, mình bảo bạn hiểu biết đến tầm nào đó sẽ biết đúng biết sai. Nếu người thông minh bình thường thì ngoài 30 tuổi. Đọc tin, đọc sách là đã biết đúng biết sai (vì nhiều khi thằng viết trình còn kém xa mình).

@vnstockguru Nôm na là lỗi người dùng đúng ko ?

vnstockguru

@hsdhnh Còn tuỳ.
Do hệ thống là do hệ thống.
Do người dùng là do người dùng,

Xe lao xuống ruộng do không có đường ô tô là do hệ thống.
Xe lao xuống ruộng khi đi trên cao tốc thì lại do người dùng, do xe (nổ lốp chẳng hạn).

Không thể đánh đồng 2 thứ là 1 nếu có tý suy nghĩ dù cùng 1 hiện tượng (xe nằm dưới ruộng).

@vnstockguru Đâu cần so rộng ví dụ chưa chuẩn ?
IOS bị theo dõi, truyền dữ liệu hack đc pass, rồi âm thầm chuyển dữ liệu đi từ chủ nhân nếu HDH bảo mật làm gì dính theo dõi rồi tự động chuyển dữ liệu đi khi chủ nhân ko nhấn send ....

@hsdhnh Riêng FBI, John Mcafee với hàng tá chuyên gia hàng đầu phải bó tay thì thấy rằng nó quá bảo mật. Mọi lời phủ định hay chê bai chủ yếu mang yếu tố cảm tính.

Có thể 1 số hành vi tự bắn vào chân mình khi đang chạy là hoàn toàn có thể xảy ra. Trình cao thì băng bó lại ngon ngay còn không ngon sẽ trở thành hoại tử.

Và, cái tốt hôm nay chưa chắc đã tốt ngày mai.

Thấy gì qua việc Apple lần đầu mở chương trình thưởng tiền để tìm lỗi bảo mật tối đa 200.000$

CHỦ ĐỀ TƯƠNG TỰ

Mình đã không còn nhu cầu dùng hay dành sự quan tâm cho iPad!

Lần đầu tiên iPad Pro còn nhẹ hơn cả iPad Air

Chip Apple M4 chính thức: Neural Engine tốc độ 38 TOPS, xử lý AI mạnh nhất lịch sử chip Apple

Apple giới thiệu Apple Pencil Pro: thao tác bóp mới, tích hợp vào ứng dụng Find My