Tại sự kiện Black Hat Conference vừa diễn ra ở Las Vegas, Apple đã lần đầu tiên công bố chương trình tìm lỗi bảo mật để nhận tiền (Bug bounty). Phần thưởng cho một lỗ hổng được báo cáo và xác nhận có thể lên tới 200.000$ tùy theo độ nghiêm trọng. Trước Apple, đã có Facebook, Google, Microsoft và nhiều công ty khác mở chương trình tương tự nhằm khuyến khích các hacker tìm kiếm lỗ hổng bảo mật mà chuyên gia của hãng không thể phát hiện ra.
Vậy chúng ta có thể thấy gì qua việc này? Trước hết, bảo mật của iOS ngày nay đã trở thành một vấn đề phức tạp khi mà iPhone, iPad càng lúc càng được nhiều người sử dụng. Apple biết rằng hãng không thể chỉ dựa vào đội ngũ chuyên viên bảo mật của mình để tìm ra những lỗ hổng nằm ẩn sâu trong nhiều tầng hệ thống, từ phần cứng tới phần mềm. Rõ ràng trong thời gian qua một số lỗi cũng đã xuất hiện cho phép hacker truy cập vào iOS bằng cách vật lý hoặc nguy hiểm hơn là truy cập từ xa, và rất nhiều trong số đó được phát hiện và công bố bởi các công ty bảo mật hoặc cá nhân bên ngoài đấy thôi.
Thứ hai, thiết bị iOS ngày nay đã bắt đầu được vào các môi trường công sở. Nhóm khách hàng doanh nghiệp này cực kì nhạy cảm với vấn đề bảo mật, họ sẽ luôn yêu cầu Apple cho thấy khả năng tìm ra lỗ hổng và vá nó lại. Giả sử Apple trả lời rằng họ chỉ dựa vào đội ngũ của mình để khai thác thì chắc chắn sẽ không thể nào đấu lại Google nếu họ nói: "Android được tìm lỗ hổng bởi cả nhân viên của chúng tôi lẫn sức mạnh của cộng đồng". Đương nhiên Apple phải tìm cách làm hài lòng các doanh nghiệp thì mới có thể bán được sản phẩm chứ, nhất là khi hãng đang muốn đánh mạnh vào nhóm khách hàng này để tạo nguồn doanh thu mới thông qua việc bắt tay với IBM, SAP, Cisco.
Nhưng có một công ty tên Exodux Intelligence đang đưa ra mức giá cao hơn những gì Apple trả, tối đa đến 500.000$, để nhận được thông tin về các lỗi bảo mật của iOS và Mac. Tất nhiên, việc báo cáo cho ai là việc của hacker, nhưng rõ ràng báo cáo cho Apple thì độ tin tưởng có thể cao hơn và đảm bảo lỗ hổng sẽ được vá cũng như không bị phát tán trong trường họp xui xẻo nào đó.
Số tiền mà Apple đưa ra cho chương trình Bug Bounty của mình như sau:
- Lỗ hổng liên quan tới các linh kiện boot - thưởng tối đa 200.000$
- Lỗ hổng có thể dùng để trích xuất thông tin mật ra khỏi bộ xử lý Secure Enclave (trên các thiết bị có Touch ID) - thưởng tối đa 100.000$
- Lỗ hổng cho phép chạy mã độc với cấp kernel - thưởng tối đa 50.000$
- Lỗ hổng cho phép truy cập trái phép vào dữ liệu iCloud đặt trên máy chủ Apple - thưởng tối đa 50.000$
- Truy cập và lấy được dữ liệu của người dùng trong các tiến trình được bảo vệ sandbox - thưởng tối đa 50.000$
