Como prometido em agosto de 2019, o programa de “caça aos bugs” da Apple foi, finalmente, inaugurado. O Apple Security Bounty promete pagar até um milhão e meio de dólares para quem encontrar erros em seus softwares.
Anteriormente, a iniciativa era apenas para convidados, o que atraiu críticas, porque incentivava aqueles que não foram convidados a vender detalhes para empresas e governos que os explorariam para obter acesso não autorizado aos dispositivos Apple.
Recentemente, a empresa subiu os pagamentos máximos após reclamações sobre baixas recompensas, o que aumentava a probabilidade de os clientes serem tentados a vender vulnerabilidades de segurança no mercado negro por quantias muito mais altas.
O site do Apple Security Bounty possui todos os detalhes, incluindo elegibilidade. Para ser elegível como parte do programa, o problema deve ocorrer nas versões mais recentes disponíveis de iOS, iPadOS, macOS, tvOS ou watchOS com uma configuração padrão e, quando apropriado, o hardware mais recente disponível.
Essas regras de elegibilidade têm como objetivo proteger os clientes até que uma atualização esteja disponível, garantir que a Apple possa verificar rapidamente os relatórios e criar as atualizações necessárias, e recompensar adequadamente aqueles que conduzem uma investigação original.
Pesquisadores ou selecionados para encontrar os erros e falhas devem:
– Ser o primeiro a relatar o problema para a Apple Product Security;
– Fornecer um relatório claro, que inclua uma exploração do trabalho;
– Não divulgar publicamente o problema antes que a Apple notifique o aviso de segurança com seu relatório.
Problemas desconhecidos da empresa e exclusivos das versões beta do desenvolvedor designado, e versões beta públicas, incluindo regressões, podem gerar um pagamento de bônus de 50%.
A Apple publicou uma planilha de taxa mínima de pagamento, variando de US$ 100 mil a US$ 1 milhão, embora o bônus de 50% signifique que o pagamento máximo é de US$ 1,5 milhão. A companhia também pagará o mesmo valor novamente para uma instituição de caridade.
O objetivo do Apple Security Bounty é proteger os clientes, compreendendo as vulnerabilidades e suas técnicas de exploração.
Via: FayerWayer e OlharDigital