Apple ha presentato una versione estesa del suo programma di “bug bounty”, l’accordo che permette ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi a exploit e vulnerabilità di macOS, tvOS, watchOS, iCloud e dispositivi iOS.
L’annuncio è stato fatto da Ivan Krstić, responsabile security engineering di Apple, nel corso della conferenza sulla sicurezza “Black Hat” di Las Vegas.
La Casa di Cupertino ha attivato un programma di bug bounty ad agosto del 2016, incoraggiando esperti in sicurezza a scovare vulnerabilità e ricevere in cambio premi in denaro per quanto eventualmente scoperto.
Ad un anno di distanza, si è scoperto che l’idea non aveva avuto molto successo perché i premi in denaro erano riservati solo ad alcuni ricercatori ma anche perché i premi in denaro, che partivano da 25.000 dollari per arrivare a un massimo di 200.000 dollari, sarebbero troppo bassi rispetto a quanto esperti in sicurezza riescono a ottenere vendono ad altri le vulnerabilità scoperte.
Il nuovo programma bug bounty di Apple è aperto a tutti i ricercatori e i premi variano da 200.000$ per exploit fino a un massimo di 1 milione di dollari, secondo la natura della falla di sicurezza. La cifra massima può essere ottenuta, ad esempio, individuando un meccanismo che permette di eseguire codice nel kernel senza l’intervento dell’utente mantenendo la persistenza sul sistema.
I ricercatori che individuano vulnerabilità in software non ancora distribuito ufficialmente – riferisce Macrumors – possono qualificarsi e ottenere il 50% dell’ammontare previsto dal programma di bug bounty.
Come abbiamo già spiegato qui, Apple ora offre anche ad alcuni ricercatori la possibilità di ottenere “deb-iPhone”, dispositivi normalmente riservati ai ricercatori di Apple con i 2uali è possibile accedere ad aree di memoria normalmente inaccessibili per consentire di smascherare particolari vulnerabilità hardware e software. I nuovi dispositivi saranno forniti come parte dell’iOS Security Research Device Program che partirà dal prossimo anno.
