O melhor pedaço da Maçã.

Apple aumenta recompensa por bugs de segurança e programa vai a público

Dá para ficar milionário com a descoberta de falhas nos sistemas da Apple!

A Apple abriu hoje oficialmente o seu programa de recompensas por bugs para os seus diferentes sistemas e para todos os pesquisadores de segurança. Em agosto passado, a companhia havia anunciado a expansão do programa, mas desde então somente pessoas convidadas podiam participar (e relatar bugs apenas do iOS).

Publicidade

Sendo assim, a partir de agora, qualquer pesquisador de segurança que encontrar alguma vulnerabilidade no iOS, no iPadOS, no macOS, no watchOS, no tvOS — e até mesmo no iCloud — está qualificado para receber um pagamento em dinheiro ao informá-la à Apple (saiba como relatar uma vulnerabilidade de segurança ou privacidade aqui).

iPhone, iPad, Mac e Apple Watch

Além disso, a Maçã também aumentou o valor máximo da recompensa de US$200.000 para US$1.500.000 — dependendo da complexidade/gravidade da falha explorada. Naturalmente, para receber o pagamento é necessário estar dentro de alguns parâmetros, os quais foram divulgados no site do programa:

  • Ser o primeiro a relatar e descrever detalhadamente o(s) bug(s).
  • Informar os pré-requisitos e as etapas para que o sistema seja infectado.
  • Demonstrar como chegar ao bug que está sendo relatado.
  • Apontar informações suficientes para que a Apple possa reproduzir o(s) bug(s).

Inicialmente, a Maçã pagará US$1.000.000 ao pesquisador que descobrir uma falha persistente do código-fonte do kernel que não exija interação do usuário (zero click) e com acesso por PAC1Proxy auto-configuration, ou detecção automática de proxy.; se isso for descoberto durante a fase de testes de um software, a empresa oferecerá um bônus de 50% — o motivo para isso é que, se o bug for descoberto nas versões beta, a companhia poderá corrigi-lo antes de o software ir a público.

A Apple também pagará um bônus de 50% pelos chamados “erros de regressão”, que são bugs reincidentes dos sistemas da companhia. No entanto, se um desses possíveis ataques envolvem mais de um tipo de falha, o pesquisador terá que demonstrar o ataque completo (incluindo todos os bugs) e não apenas a vulnerabilidade final, caso queira ganhar a recompensa máxima.

Publicidade

Todos os documentos foram divulgados pelo chefe de segurança de engenharia e arquitetura da Maçã, Ivan Krstić‏:

No ar!
🔺O novo Programa de Recompensas da Apple! https://developer.apple.com/security-bounty/
🔺O novo guia da Plataforma de Segurança da Apple, com a primeira participação do Mac! https://support.apple.com/pt-br/guide/security/welcome/web
(Versão em PDF: https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf)
🔺 Meu discurso no Black Hat 2019: https://www.youtube.com/watch?v=3byNNUReyvE
Boas festas! 🎄

Como informamos, o programa da gigante de Cupertino também disponibilizará, a partir do ano que vem, iPhones para os pesquisadores de segurança que se dedicarem ao programa.

Publicidade

Ainda pensando na segurança dos usuários, a Maçã liberou ontem (19/12) um grande documento acerca das ferramentas de proteção e segurança presentes em todos os seus produtos, sistemas e serviços.

via ZDNet

Notas de rodapé

  • 1
    Proxy auto-configuration, ou detecção automática de proxy.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

“Mythic Quest: Raven’s Banquet” chegará ao Apple TV+ em fevereiro; trailer de “Little America” é divulgado

Próx. Post

Apple estaria investindo em satélites para transmitir dados de dispositivos

Posts Relacionados