Questo sito contiene link di affiliazione per cui può essere compensato

Home » Hi-Tech » Internet » Le falle di iPhone e Mac valgono oro, il bug bounty di Apple rischia di fallire

Le falle di iPhone e Mac valgono oro, il bug bounty di Apple rischia di fallire

Pubblicità

Da quasi un anno, Apple ha attivato un “bug bounty”, un programma che prevede ricompense in denaro per chi segnala vulnerabilità sul versante hardware e software. L’idea è di incentivare esperti in sicurezza a scovare vulnerabilità e ricevere in cambio premi in denaro per quanto eventualmente scoperto. Simili iniziative nel settore non sono nuove e anche Google, Facebook e molti altri big del settore tecnologico, hanno attivato programmi simili molto prima di Cupertino.

Stando a quanto riporta il sito Motherboard, l’iniziativa di Apple non sta avendo molto successo. I premi in denaro, che partono da 25.000 dollari per arrivare a un massimo di 200.000 dollari, sarebbero troppo bassi rispetto a quanto esperti in sicurezza riescono a ottenere vendono ad altri le vulnerabilità scoperte.

Nikias Bassen, ricercatore che lavora per l’azienda Zimperium, evidenzia il problema affermando che è possibile ottenere molto più denaro vendendo ad altri vulnerabilità non note. Motherboard ha parlato con vari membri del programma bug bounty di Apple ma nessuno di loro avrebbe finora segnalato ad Apple vulnerabilità di iOS o macOS, e Patrick Wardle, ricercatore di Synack, afferma senza problemi che i bug di iOS “sono troppo preziosi” per essere rivelati a Cupertino.

Apple al momento offre cinquantamila dollari a chi è in grado di dimostrare la possibilità di eseguire codice arbitrario con privilegi di kernel, 50.000 dollari per l’accesso non autorizzato a dati su account iCloud sui server Apple e 25.000 dollari per chi è in grado di dimostrare la possibilità di scavalcare la sandbox, il meccanismo che impedisce alle app di raccogliere o modificare le informazioni archiviate da altre app.

Il meccanismo di ricompensa di Cupertino prevede un ulteriore incentivo: se gli esperti di sicurezza decideranno di offrire il premio in beneficenza, Apple raddoppierà la cifra offerta per ogni vulnerabilità individuata. Ma nonostante il listino prezzi di Cupertino per il bug bounty e il raddoppio in caso di beneficenza, i premi della Mela sono considerati complessivamente troppo bassi rispetto a quanto è possibile ottenere sul mercato per le stesse informazioni: le vulnerabilità di macOS e soprattutto di iOS fanno gola a hacker, pirati informatici così come a società di sicurezza, agenzie governative e altri ancora.

iphone 6 blindato sicuro 640
Ma l’iniziativa di bug bounty di Cupertino non funziona come dovrebbe anche per altre due ragioni. La prima è che iOS è un sistema blindato e molto sicuro, che richiede la conoscenza di bug solo per poter entrare ed esplorare il codice. Per ottenere le ricompense offerte da Apple hacker e ricercatori dovrebbero comunicare a Cupertino l’intera procedura: Apple chiuderebbe le falle con dei fix che di fatto impediscono di proseguire le ricerche obbligando gli esperti a investire altro tempo per cercare altre soluzioni e bug per entrare nel sistema, vanificando così gli sforzi precedenti.

Infine per il momento il programma bug bounty di Apple è solo su invito di Cupertino e questo limita in modo sensibile il numero dei ricercatori impegnati nella caccia di vulnerabilità. Per ottenere il massimo effetto occorre coinvolgere un numero maggiore di persone ma, per poterlo fare, Apple dovrebbe impegnarsi in qualcosa che non rientra nella policy storica e tradizionale della Mela, vale a dire comunicare e divulgare di più su questioni delicate.

Offerte Apple e Tecnologia

Le offerte dell'ultimo minuto le trovi nel nostro canale Telegram

Offerte Speciali

Dieci regali Apple da acquistare su Amazon con consegna prima di Natale

I migliori prodotti Apple con sconto su Amazon e che arrivano entro Natale

Arrivano in tempo per i vostri acquisti di fine anno. Comodissimi per chiudere un bilancio con le spese più utili per il lavoro.
Pubblicità

Ultimi articoli

Pubblicità