MADRI 10 out. (Portaltic/EP) -
A Apple anunciou que aumentou a recompensa máxima de seu programa público de recompensa por bugs para US$ 2 milhões por encontrar cadeias de exploits que atinjam objetivos semelhantes aos de ataques mercenários de spyware, consolidando-a como a "maior recompensa do setor".
Ativo desde 2016, a empresa sediada em Cupertino tornou público seu programa Apple Security Bounty para pesquisadores que descobrirem novas vulnerabilidades em 2019, com o objetivo de encontrar quaisquer incidentes ou bugs o mais rápido possível e proteger os usuários.
Desde então, a empresa concedeu recompensas avaliadas em mais de US$ 35 milhões a mais de 800 pesquisadores de segurança. Entre eles, vários relatórios individuais receberam US$ 500.000 em recompensas.
Agora, a Apple anunciou que o programa Apple Security Bounty incluirá as recompensas "mais altas do setor", além de categorias de pesquisa ampliadas e um sistema de sinalização para que os pesquisadores demonstrem vulnerabilidades de forma "mais objetiva".
Especificamente, o fabricante do iPhone indicou que está dobrando a recompensa máxima para US$ 2 milhões (cerca de 1,7 milhão de euros) para cadeias de exploração que "atingem objetivos semelhantes a ataques sofisticados de spyware mercenários".
Conforme detalhado em uma declaração em seu blog, essa recompensa é um valor "sem precedentes no setor" e "o maior pagamento oferecido por qualquer programa de recompensas conhecido".
Além das recompensas ampliadas, o sistema de bônus poderá exceder US$ 5 milhões. Esse sistema oferece recompensas adicionais aos pesquisadores por contornarem o modo Lockdown e descobrirem vulnerabilidades no software beta.
De acordo com isso, a Apple também aumentou significativamente as recompensas em outras categorias para "incentivar uma pesquisa mais completa". Por exemplo, a empresa recompensará com US$ 100.000 os pesquisadores que contornarem completamente o Gatekeeper e com US$ 1 milhão aqueles que obtiverem acesso amplo e não autorizado ao iCloud, já que nenhuma exploração relacionada foi encontrada até o momento.
Separadamente, a empresa detalhou que ampliou suas categorias de recompensas para abranger "mais áreas de ataque". Essas áreas incluem o ambiente sandbox do WebKit, onde serão concedidos US$ 200.000 para aqueles que escaparem com um único clique. Também se estendeu à proximidade sem fio por qualquer raio, que será recompensado com até US$ 1 milhão.
Por fim, a Apple introduziu os Target Flags, que se baseiam em um novo formato que permitirá aos pesquisadores "demonstrar objetivamente" a capacidade de exploração de algumas de suas principais categorias de recompensa. Por exemplo, execução remota de código e omissões de Transparência, Consentimento e Controle (TCC).
Além disso, ao usar esse novo formato, os pesquisadores poderão obter recompensas aceleradas, "mesmo antes de uma solução estar disponível".
Dito isso, a empresa detalhou que essas atualizações nas recompensas entrarão em vigor em novembro deste ano, quando a lista completa de novas categorias e recompensas expandidas será publicada.
Esta notícia foi traduzida por um tradutor automático