Según lo prometido por Apple en agosto de este año, la compañía finalmente abrió su programa de recompensas de errores a todos los investigadores de seguridad, ofreciendo recompensas monetarias a cualquiera por reportar vulnerabilidades en iOS, macOS, watchOS, tvOS, iPadOS e iCloud a la compañía.
Desde su lanzamiento hace tres años, el programa de recompensas de errores de Apple estaba abierto solo para investigadores de seguridad seleccionados por invitación y solo fue recompensado por informar vulnerabilidades en el sistema operativo móvil iOS.
Sin embargo, hablando en una conferencia de pirateo en agosto de este año, Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple en Apple, anunció el próximo programa extendido de recompensas por errores que incluía tres aspectos principales:
- un aumento enorme en la recompensa máxima de $ 200,000 a $ 1.5 millones,
- aceptar informes de errores para todos sus sistemas operativos y hardware más reciente,
- abriendo el programa para todos los investigadores.
A partir de hoy, todos los investigadores de seguridad y piratas informáticos son elegibles para recibir un pago en efectivo por encontrar y divulgar de manera responsable una vulnerabilidad de seguridad válida en las «últimas versiones disponibles públicamente de iOS, iPadOS, macOS, tvOS o watchOS con una configuración estándar». como fue anunciado por primera vez por Krstić en Twitter .
Incluso después de enviar un error de seguridad válido, los investigadores deben seguir algunas reglas básicas de elegibilidad para recibir recompensas, que incluyen informar los detalles directamente al equipo de seguridad de Apple sin revelar nada al público hasta que la compañía publique un parche y proporcione un informe claro con un trabajo explotar.
Como se muestra en el cuadro de pago de recompensas por errores anterior, se otorgarán $ 1 millón solo a aquellos que presenten una grave explotación mortal de ejecución de código de kernel sin clics que pueda permitir un control completo y persistente de un dispositivo objetivo.
¿Y lo que es más? Además de su recompensa máxima de $ 1 millón, Apple también ofrecerá un bono del 50% a quienes encuentren e informen vulnerabilidades en su software de prelanzamiento (versión beta) antes de su lanzamiento público, lo que elevará su recompensa máxima a $ 1.5 millones.
Además de esto, Apple ahora también pagará un bono adicional del 50% sobre el monto de recompensa elegible por informar una vulnerabilidad de ‘regresión’ que la compañía parchó en versiones anteriores de su software, pero reintrodujo ‘erróneamente’ en una versión beta pública o beta para desarrolladores.
El programa Apple Security Bounty tiene como objetivo también alentar a los piratas informáticos que divulgan públicamente las vulnerabilidades de seguridad que descubrieron en los productos de Apple o las venden a proveedores privados como Zerodium , Cellebrite y Grayshift , que se dedican a las hazañas de día cero.
Fuente: thehackernews.com