Cupertino rinnova completamente Apple Security Bounty: ora tutti possono dare la caccia ai bug nei sistemi operativi di Apple e, rispettando tutte le condizioni stabilite, ricevere premi in denaro. Qualsiasi ricercatore che si occupa di sicurezza può ora segnalare ad Apple eventuali falle nei suoi sistemi e richiedere un premio in denaro. I cosiddetti bug bounty sono programmi con ricompense in denaro predisposte da varie aziende per invogliare gli utenti a segnalare vulnerabilità particolarmente importanti.
Apple aveva predisposto un programma di bug bounty nel 2016 ma questo era inizialmente ristretto a iOS ed erano previste limitazioni anche in termini di partecipanti (gruppi selezionati) solo su invito, con premi che arrivavano a un massimo di 200mila dollari, ricopensa molto inferiore rispetto a quanto corrisposto da altre società.
Ad agosto la multinazionale di Cupertino aveva promesso l’arrivo di speciali versioni di iPhone per permettere ai ricercatori specializzati in sicurezza di accedere ad aree di memoria normalmente inaccessibili e consentire di smascherare particolari vulnerabilità hardware e software. In occasione della conferenza Black Hat di Las Vegas dedicata alla sicurezza Apple ha inoltre annunciato un programma Bug Bounty per Mac, con ricompense anche per chi individua vulnerabilità su Mac.
Le ricompense offerte con il nuovo programma Apple Security Bounty oscillano tra i 100.000 dollari (es. dimostrazione della possibilità di accedere a un account iCloud su server Apple) e fino a 1.000.000 di dollari (es. dimostrazione di una vulnerabilità che permette l’esecuzione di codice a livello di kernel e senza che l’utente-target debba interagire). Le segnalazioni si possono effettuare partendo da qui.
Apple Security Bounty copre i problemi di sicurezza identificati nelle ultime versioni pubbliche di iOS, iPadOS, macOS, tvOS e watchOS, nelle configurazioni standard. Esistono diverse condizioni per richiedere il premio: essere i primi a segnalare la vulnerabilità; fornire un report dettagliato; e non rivelare pubblicamente il problema finché Apple non lo rende noto e lo risolve. Con i bug di sicurezza specifici delle versioni beta dei sistemi operativi è possibile ottenere un ulteriore bonus del 50% in più rispetto alla somma prevista, ma questo non è una linea di condotta sistematica (si effettueranno valutazioni di volta in volta).
Come sempre, il nome di chiunque dimostrerà vulnerabilità, sarà indicato tra i ringraziamenti di Apple. Se chi scopre vulnerabilità deciderà di offrire il denaro a organizzazioni di beneficenza, Apple raddoppierà in automatico il premio previsto.
