Em seu histórico, a Apple sempre se recusou a pagar por falhas de segurança em seus sistemas. Mas agora isso mudou. O chefe de engenharia de segurança e arquitetura da gigante de tecnologia, Ivan Krstic, anunciou essa semana que a Apple começará a oferecer recompensas em dinheiro de até US$ 200 mil para quem descobrir vulnerabilidades em seus produtos – um dos maiores valores oferecidos pela indústria.
No passado, a Apple citou governos e mercados negros como razão para não entrar no negócio de recompensas. O FBI, por exemplo, teria pago cerca de US$ 1 milhão para quem conseguisse invadir um iPhone usado pelo atirador de San Bernardino em dezembro passado.
Segundo a Apple, a descoberta de vulnerabilidades está cada vez mais difícil para profissionais da própria empresa, muito em função do fortalecimento dos sistemas da companhia, e, por isso, a ideia agora de abrir a iniciativa para pesquisadores.
“Se uma empresa lança um programa de bugs, ela já nocauteou todas as possibilidades internas”, opina Alex Arroz, cofundador do programa de recompensas de bug HackerOne.
O programa de recompensas de bugs da Apple será direcionado apenas para convidados da Apple, especialmente para pesquisadores que já fizeram valiosas divulgações de vulnerabilidades para a empresa. No entanto, a Apple não vai se afastar de novos pesquisadores se eles fornecem informações úteis.
O programa será lançado em setembro com cinco categorias de risco e recompensa:
• Vulnerabilidades em componentes de firmware: até US$ 200 mil
• Vulnerabilidades que permitem extração de material confidencial do Enclave: até US$ 100 mil
• Execuções de códigos maliciosos ou arbitrários com privilégios do kernel: até US$ 50 mil
• Acesso a dados da conta do iCloud em servidores Apple: até US$ 50 mil
• Acesso a partir de um processo de área restrita aos dados dos usuários fora do sandbox: até US$ 25 mil
Para ganharem a recompensa, investigadores terão de fornecer uma prova de conceito de iOS e hardware. A recompensa será baseada em vários fatores: clareza do relatório de vulnerabilidade; novidade do problema e probabilidade de exposição do utilizador; e grau de interação do usuário necessário para explorar a vulnerabilidade.
A Apple planeja incentivar que pesquisadores doem o dinheiro para caridade. Se a Apple aprovar a instituição selecionada de um pesquisador, irá corresponder agregar mais dinheiro à doação.
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…