Apple abriu seu programa de recompensas para todos os pesquisadores

Ivan Krstić anunciou que a Apple abriu seu programa de recompensas para todos os pesquisadores. Confira os detalhes dessa mudança e entenda.

Em seu formato, o escopo do Security Bounty da Apple é limitado a vulnerabilidades no iOS e está aberto apenas a pesquisadores aprovados pela empresa de Cupertino.

Apple abriu seu programa de recompensas para todos os pesquisadores
Apple abriu seu programa de recompensas para todos os pesquisadores

As recompensas não mudaram desde o lançamento do programa em 2016, sendo a maior delas de U$$ 200.000 para demonstrar falhas nos componentes de firmware de inicialização segura.

A partir deste outono, a Apple planeja transferir seu programa de recompensa de vulnerabilidade para um novo estágio que permita um engajamento mais amplo da comunidade de segurança da informação.

Sim. A Apple decidiu abrir seu programa de recompensas de bugs e permitir a participação de todos os pesquisadores de segurança.

Apple abriu seu programa de recompensas para todos os pesquisadores

A revelação aconteceu no palco da conferência de segurança Black Hat, em Las Vegas, onde, Ivan Krstić, o chefe de engenharia de segurança e arquitetura da Apple anunciou na quinta-feira (08/08) uma mudança significativa para essa nova fase do programa.

Primeiro de tudo, Ivan Krstić anunciou que o Security Bounty da Apple vem com um conjunto mais amplo de alvos, que incluem macOS e watchOS.

Novos alvos do programa

Recompensas mais altas também estarão disponíveis. O maior será de U$$ 1 milhão, por comprovar ataques pela rede que não exigem interação do usuário (execução de código do kernel sem cliques com persistência).

Recompensas
 
A Apple pagará U$$ 500.000 pelo mesmo tipo de ataque furtivo que pode obter acesso a dados de usuários de alto valor.

Recompensas mais baixas, entre U$$ 100.000 e U$$ 250.000, são para explorar vulnerabilidades que exigem acesso físico ao dispositivo ou interação com o usuário.

Outra novidade para os hackers que procuram bugs no iOS é uma plataforma especificamente concebida para fins de pesquisa.

Alguns pesquisadores escolhidos a dedo receberão um novo brinquedo para uma inspeção mais profunda na segurança dos iPhones.

É um iPhone desprovido de muitas das camadas de segurança encontradas em uma parte do consumidor que fornece acesso SSH, shell root por padrão e recursos avançados de depuração.

A Apple manterá sua política “somente para convidados” para acesso a esses dispositivos, oferecendo-os como parte do novo programa “iOS Security Research Device” da empresa, para pesquisadores excepcionais.

Este tipo especial de iPhones é conhecido como “dev-fused” e existe há anos. Eles são normalmente usados ​​internamente para avaliar a segurança de componentes internos sensíveis, como o Secure Enclave Process (Processo de Enclave Seguro), responsável por criptografar dados no iPhone.

No entanto, alguns deles são contrabandeados para fora da fábrica e aterrissam nas mãos de pesquisadores de vulnerabilidade.

Eles puderam, assim, estudar os componentes internos do dispositivo e chegar a zero-days, que também alcançariam o mercado cinza.

A Apple começará a distribuir no ano que vem uma versão aprovada desses iPhones mais fracos para selecionar pesquisadores, disse Krstić na Black Hat.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.