Em seu histórico, a Apple sempre se recusou a pagar por falhas de segurança em seus sistemas. Mas agora isso mudou. O chefe de engenharia de segurança e arquitetura da gigante de tecnologia, Ivan Krstic, anunciou essa semana que a Apple começará a oferecer recompensas em dinheiro de até US$ 200 mil para quem descobrir vulnerabilidades em seus produtos – um dos maiores valores oferecidos pela indústria.
No passado, a Apple citou governos e mercados negros como razão para não entrar no negócio de recompensas. O FBI, por exemplo, teria pago cerca de US$ 1 milhão para quem conseguisse invadir um iPhone usado pelo atirador de San Bernardino em dezembro passado.
Segundo a Apple, a descoberta de vulnerabilidades está cada vez mais difícil para profissionais da própria empresa, muito em função do fortalecimento dos sistemas da companhia, e, por isso, a ideia agora de abrir a iniciativa para pesquisadores.
“Se uma empresa lança um programa de bugs, ela já nocauteou todas as possibilidades internas”, opina Alex Arroz, cofundador do programa de recompensas de bug HackerOne.
O programa de recompensas de bugs da Apple será direcionado apenas para convidados da Apple, especialmente para pesquisadores que já fizeram valiosas divulgações de vulnerabilidades para a empresa. No entanto, a Apple não vai se afastar de novos pesquisadores se eles fornecem informações úteis.
O programa será lançado em setembro com cinco categorias de risco e recompensa:
• Vulnerabilidades em componentes de firmware: até US$ 200 mil
• Vulnerabilidades que permitem extração de material confidencial do Enclave: até US$ 100 mil
• Execuções de códigos maliciosos ou arbitrários com privilégios do kernel: até US$ 50 mil
• Acesso a dados da conta do iCloud em servidores Apple: até US$ 50 mil
• Acesso a partir de um processo de área restrita aos dados dos usuários fora do sandbox: até US$ 25 mil
Para ganharem a recompensa, investigadores terão de fornecer uma prova de conceito de iOS e hardware. A recompensa será baseada em vários fatores: clareza do relatório de vulnerabilidade; novidade do problema e probabilidade de exposição do utilizador; e grau de interação do usuário necessário para explorar a vulnerabilidade.
A Apple planeja incentivar que pesquisadores doem o dinheiro para caridade. Se a Apple aprovar a instituição selecionada de um pesquisador, irá corresponder agregar mais dinheiro à doação.
No segundo dia do IT Forum Na Mata com oferecimento BuildBox, realizado na sexta-feira (12)…
Por Leandro Cesar Lopes O Brasil pode estar mais preparado para a era da inteligência…
A Associação Brasileira das Empresas de Software (Abes) apresentou nesta segunda-feira (15) a segunda parte…
O crescimento dos gastos com inteligência artificial (IA) pode estar menos relacionado ao uso dos…
A Lenovo anunciou, nesta segunda-feira (15), a nomeação de Claudio Stopatto para o cargo de…
Faleceu neste final de semana o pesquisador Rege Romeu Scarabucci. Ao longo de mais de…