Como parte de uma apresentação para a conferência Black Hat, a Apple anunciou um programa de recompensas que pode pagar até US$ 200 mil para investigadores que descobrirem vulnerabilidades em seus produtos ou serviços.
É a primeira vez que a Apple implementa este tipo de programa, que foi muito útil para outras gigantes tecnológicas como Google, Microsoft e Facebook. Por enquanto, as recompensas são oferecidas para uma pequena leva de produtos e serviços, par hackers e pesquisadores convidados, mas ambos devem se expandir no futuro.
As recompensas
– Componentes do firmware de inicialização segura: até US$ 200 mil
– Remoção de material confidencial protegido por link seguro: até US$ 100 mil
– Execução de código arbitrário com privilégios de kernel: até US$ 50 mil
– Acesso a dados do usuário protegidos por sandbox: até US$ 25 mil
– Acesso não autorizado a dados de contas iCloud nos serviços da Apple: até US$ 50 mil
Os pesquisadores que querem as recompensas terão que apresentar um informe para a Apple com uma prova de conceito que explore a falha na última versão estável do iOS. Se as falhas forem de hardware, a prova de conceito deve acontecer nas últimas versões do iPhone ou iPad.
Também é solicitado que as falhas não sejam reveladas antes que a Apple as solucione, e os erros serão corrigidos no menor tempo possível, mas sem um compromisso de tempo. Uma vez publicada a revisão, os pesquisadores que quiserem serão creditados nas notas de versão de atualização de segurança correspondente.
A quantidade de dinheiro para cada vulnerabilidade será avaliada pelos engenheiros da Apple. Se o pesquisador decidir doar o valor para obras de caridade, a Apple vai dobrar o prêmio e entregar a mesma quantia.
Até agora, a Apple envolvida todos os seus aspectos de segurança sob um código de silêncio, mas o tempo mostrou que isso não foi suficiente para evitar casos como o trojan Flashback, que derrubou o mito da suposta invulnerabilidade do Mac. A empresa não podia manter o mito às custas da segurança dos seus usuários.
Qualquer plataforma é vulnerável. Fato.
Via ArsTechnica