A Apple está lançando um programa de recompensa por bug expandido que cobre macOS, tvOS, watchOS e iCloud, bem como dispositivos iOS, anunciou o chefe de engenharia de segurança da Apple, Ivan Krstić, na conferência Black Hat em Las Vegas.
A Apple lançou seu programa de recompensa de bugs para dispositivos iOS em agosto de 2016, permitindo que os pesquisadores de segurança que localizassem bugs no iOS recebessem um pagamento em dinheiro por revelar a vulnerabilidade à Apple. Até agora, os dispositivos não iOS não estavam incluídos, uma medida que foi anteriormente criticada pela comunidade de segurança.
A falta de um programa de recompensa de bug do macOS pela Apple ganhou as manchetes no início deste ano, quando um adolescente alemão inicialmente se recusou a revelar os detalhes de uma grande falha de segurança do macOS Keychain porque a Apple não tinha um pagamento. Embora ele tenha fornecido a informação para a Apple, ele disse que esperava que sua recusa inspirasse a Apple a expandir seu programa de recompensa por insetos, o que a empresa de fato fez.
Com o lançamento do novo programa de recompensa por bug do macOS, a Apple está abrindo sua recompensa por bug para todos os pesquisadores ainda este ano e está aumentando o tamanho máximo da recompensa de $ 200.000 por exploit para $ 1 milhão, dependendo da natureza da falha de segurança. Uma execução de código de kernel de zero clique com persistência renderá a quantia máxima.
Os pesquisadores que descobrem vulnerabilidades no software de pré-lançamento antes do lançamento geral podem se qualificar para um pagamento de bônus de até 50 por cento além do valor base da recompensa do bug.
Como reportado no início desta semana , A Apple também planeja fornecer hackers e pesquisadores de segurança avaliados e confiáveis com iPhones 'dev', também conhecidos como iPhones especiais que fornecem acesso mais profundo ao software e sistema operacional subjacentes que facilitarão a descoberta de vulnerabilidades.
A Apple está fornecendo esses iPhones como parte de seu novo iOS Security Research Device Program, que será lançado no próximo ano. O objetivo da Apple com esses novos esforços de recompensa de bug é encorajar pesquisadores de segurança adicionais a divulgar vulnerabilidades, levando a dispositivos mais seguros para os consumidores.
(Obrigado, SecuritySteve!)
Publicações Populares