A Apple abriu hoje oficialmente o seu programa de recompensas por bugs para os seus diferentes sistemas e para todos os pesquisadores de segurança. Em agosto passado, a companhia havia anunciado a expansão do programa, mas desde então somente pessoas convidadas podiam participar (e relatar bugs apenas do iOS).
Sendo assim, a partir de agora, qualquer pesquisador de segurança que encontrar alguma vulnerabilidade no iOS, no iPadOS, no macOS, no watchOS, no tvOS — e até mesmo no iCloud — está qualificado para receber um pagamento em dinheiro ao informá-la à Apple (saiba como relatar uma vulnerabilidade de segurança ou privacidade aqui).
Além disso, a Maçã também aumentou o valor máximo da recompensa de US$200.000 para US$1.500.000 — dependendo da complexidade/gravidade da falha explorada. Naturalmente, para receber o pagamento é necessário estar dentro de alguns parâmetros, os quais foram divulgados no site do programa:
- Ser o primeiro a relatar e descrever detalhadamente o(s) bug(s).
- Informar os pré-requisitos e as etapas para que o sistema seja infectado.
- Demonstrar como chegar ao bug que está sendo relatado.
- Apontar informações suficientes para que a Apple possa reproduzir o(s) bug(s).
Inicialmente, a Maçã pagará US$1.000.000 ao pesquisador que descobrir uma falha persistente do código-fonte do kernel que não exija interação do usuário (zero click) e com acesso por PAC1Proxy auto-configuration, ou detecção automática de proxy.; se isso for descoberto durante a fase de testes de um software, a empresa oferecerá um bônus de 50% — o motivo para isso é que, se o bug for descoberto nas versões beta, a companhia poderá corrigi-lo antes de o software ir a público.
A Apple também pagará um bônus de 50% pelos chamados “erros de regressão”, que são bugs reincidentes dos sistemas da companhia. No entanto, se um desses possíveis ataques envolvem mais de um tipo de falha, o pesquisador terá que demonstrar o ataque completo (incluindo todos os bugs) e não apenas a vulnerabilidade final, caso queira ganhar a recompensa máxima.
Todos os documentos foram divulgados pelo chefe de segurança de engenharia e arquitetura da Maçã, Ivan Krstić:
Como informamos, o programa da gigante de Cupertino também disponibilizará, a partir do ano que vem, iPhones para os pesquisadores de segurança que se dedicarem ao programa.
Ainda pensando na segurança dos usuários, a Maçã liberou ontem (19/12) um grande documento acerca das ferramentas de proteção e segurança presentes em todos os seus produtos, sistemas e serviços.
via ZDNet
Notas de rodapé
- 1Proxy auto-configuration, ou detecção automática de proxy.