Uma das grandes críticas de especialistas de segurança à Apple dizia respeito a como a empresa lida com descobertas de bugs e falhas de segurança. Além de aparentemente ser lenta nas resoluções, a Maçã parecia dar recompensas aquém do esperado por esses profissionais.
Ouvindo as críticas — pelo menos até certo ponto —, a Apple vem modificando esse cenário. Nesta semana a empresa lançou o Apple Security Research, um site que possibilita a pesquisadores enviar relatórios de segurança, se comunicar com os engenheiros da companhia e também obter atualizações em tempo real sobre os processos abertos.
Ao mesmo tempo, o site serve como uma espécie de blog onde a empresa divulgará seus avanços de segurança mais recentes. Já foram feitas pelo menos duas publicações no momento da redação desta matéria. Em uma delas, inclusive, a empresa anunciou que houve uma atualização em seu programa de recompensas, o Apple Security Bounty.
Destacando já ter premiado pesquisadores com quase US$20 milhões em pagamentos totais desde a abertura do programa (em 2019), a Maçã anunciou que está respondendo mais rapidamente aos envios — a empresa busca concluir as primeiras avaliações em até duas semanas, com a maioria delas se dando em até seis dias.
A outra novidade diz respeito ao próprio site, o qual facilita o envio de problemas, seu acompanhamento e a comunicação com a empresa. Prometendo maior transparência, a Maçã agora também inclui no site Security Research informações detalhadas do Apple Security Bounty e seus critérios de avaliação.
Por fim, a empresa abriu até o dia 30 de novembro as inscrições para o Security Research Device Program 2023, o qual fornece um Dispositivo de Pesquisa e Segurança (Security Research Device, ou SRD) — basicamente um iPhone modificado que permite realizar pesquisas de segurança no iOS sem ter que ignorar seus recursos de segurança.
via 9to5Mac