Apple finalmente pagará pela descoberta de vulnerabilidades de segurança

Imagem de destaque


Caneta Para notificar nossos editores de um erro no post, selecione o texto e pressione Ctrl + Enter.
Por
05/08/2016 às 11:42

Recentemente nós comentamos que a Apple era uma das poucas empresas do setor de tecnologia que não oferecia um programa de recompensas para brechas de seguranças. Hoje, quem ajuda a companhia nesse sentido (encontrando e relatando vulnerabilidades nos sistemas) “ganha” apenas um agradecimento nominal1. Felizmente, isso mudará em breve.

Nesta semana, a Apple participou da Black Hat USA 2016. Lá, a empresa divulgou que finalmente abrirá um programa para recompensar financeiramente pesquisadores de segurança e hackers que descobrirem e relatarem vulnerabilidades relevantes, seja nos sistemas operacionais (iOS, macOS, watchOS e tvOS) ou em produtos novos (hardwares como Macs, iPhones, iPads, Apple TV, etc.). Para termos uma ideia — uma base comparativa —, o Google pagou mais de US$2 milhões em recompensas do tipo em 2015 (a grande maioria eram vulnerabilidades no Android).

Conforme podemos ver no tweet de Jay “saurik” Freeman (criador do Cydia, loja que possibilita a instalação de apps/tweaks em iGadgets com jailbreak), as recompensas — ao menos neste primeiro momento — vão de US$25 mil (falha de acesso a processos a áreas restritas aos dados de usuários fora da sandbox) a US$200 mil (vulnerabilidades em componentes de firmware de inicialização segura).

O novo programa começará em setembro, apenas para convidados (algumas dezenas de pesquisadores) — a ideia é que ele se expanda com o tempo. A boa notícia é que, se uma pessoa que não faz parte do programa tiver nas mãos uma vulnerabilidade significativa, deverá ser convidada para fazer parte. A empresa explicou ainda que, apesar de incomum (limitar tudo para convidados), isso é importante para eliminar relatos espúrios e para se certificar que pesquisadores confiáveis tenham o apoio adequado.

É inegável que uma recompensa financeira é um baita incentivo para que pesquisadores e hackers procurem e divulguem bugs para as empresas. Algo do tipo realmente faltava à Apple. É aquela situação em que todos ganham: usuários (que têm nas mãos produtos/sistemas mais seguros); hackers (que são recompensados financeiramente) e a Apple (que deixa seu ecossistema mais seguro pagando apenas quando algo realmente importante é descoberto/relatado).

[via The Verge, TechCrunch]

Notas de rodapé

  1. Nas páginas de suporte que trazem informações sobre as atualizações de segurança.
Posts relacionados
Comentários

Carregar mais posts recentes

Relatório de erro de ortografia

O texto a seguir será enviado para nossos editores: