Diversas empresas oferecem prêmios em dinheiro para pesquisadores de segurança que encontrem vulnerabilidades em seus produtos. Após muitos anos, a Apple finalmente decidiu entrar na onda e irá lançar em setembro um programa de recompensas para quem descobrir bugs na última versão do iOS e dos hardwares.
O chefe de engenharia e arquitetura de segurança da Apple, Ivan Krstic, anunciou a novidade durante a conferência Black Hat. Os prêmios chegam a US$ 200 mil.
• Pesquisadores conseguem desbloquear um Galaxy S6 com digitais de homem morto
• Pesquisador reparou que mensagens apagadas do WhatsApp permanecem no celular
• Google paga até US$ 38.000 por cada falha de segurança achada no Android
A Apple será uma das últimas entre as grandes empresas de tecnologia a adotar um programa de recompensa como esse. Até agora, a companhia contava apenas com um time interno e relacionamentos informais com pesquisadores.
O atentado de San Bernardino levantou algumas críticas a essa política da Apple, já que o FBI conseguiu explorar uma brecha do sistema para acessar dados do iPhone de um dos atiradores.
O novo programa será aberto apenas para convidados no início. Porém, a Apple afirma que pretende expandi-lo com o tempo e que não irá ignorar vulnerabilidades relevantes apontadas por especialistas que ainda não fazem parte do time, o integrando ao programa posteriormente. Não é comum que iniciativas como essa sejam fechadas, mas a companhia argumenta que será necessário para evitar envio de bugs falsos e para ter certeza que de bons pesquisadores recebam o apoio adequado.
Por enquanto, o programa terá cinco categorias de bugs.
• Vulnerabilidades nos componentes de firmware de boot seguro: até US$ 200 mil;
• Vulnerabilidades que permitam a extração de dados do ‘Secure Enclave’: até US$ 100 mil;
• Execuções de códigos arbitrários ou maliciosos com privilégios no kernel: até US$ 50 mil;
• Acesso a dados de contas do iCloud nos servidores da Apple: até US$ 50 mil;
• Acesso a processos em ambientes virtuais isolados do sistema operacional: até US$ 25 mil;
O valor final do prêmio, no entanto, vai depender de uma série de fatores, como a claridade do relatório da vulnerabilidade, o quão novo é esse problema e quais são os riscos de afetar os usuários e o grau de interação necessário para acessar essa vulnerabilidade.
Além disso, a Apple irá incentivar os pesquisadores a doarem os prêmios para caridade. Se a empresa aprovar a instituição escolhida pelo especialista, ela irá equiparar a doação — um prêmio de US$ 200 mil poderia se tornar uma doação de US$ 400 mil, por exemplo.
[The Verge via TechCrunch]
Imagem do topo: AP/Mark Lennihan