A Apple está abrindo seu programa de recompensa para todos pesquisadores de segurança, além de expandir os sistemas a serem analisados. E desta vez a Apple está disposta a pagar uma bela quantia de dinheiro para quem conseguir achar falhas importantes de segurança em suas plataformas.

Ivan Krstić, chefe de segurança para engenharia e arquitetura da Apple, tuitou a notícia na última semana (a mudança foi anunciada anteriormente durante a conferência Black Hat deste ano). Em um aviso no site para desenvolvedores, a Apple informa que o programa de recompensa abrange iOS, iPadOS, macOS, tvOS ou watchOS. Como o ZDNet observou, o programa de recompensas da Apple era anteriormente apenas para convidados e estendido apenas a problemas de segurança do iOS.

Para ser elegível, o indivíduo deve ser o primeiro a relatar o bug no Apple Product Security; a pessoa deve entregar um relatório que inclui uma exploração em funcionamento (a Apple diz que pagará apenas 50% do prêmio se a falha não tiver sido explorada); e é preciso manter o problema em segredo até que a Apple emita um aviso oficial de segurança. Por tudo isso, os pesquisadores serão pagos generosamente.

O pagamento máximo pode variar de US$ 100 mil para identificar formas de burlar a tela de bloqueio e acesso não autorizado aos dados do iCloud nos servidores da empresa a até centenas de milhares de dólares (podendo chegar a US$ 1 milhão) para vários cenários em que é necessário executar um clique ou nenhuma interação para desencadear uma falha. Segundo a Apple, há um pagamento mínimo de US$ 5.000 em suas várias categorias. Tudo bem que a Apple demorou para ter programas do tipo, mas o fato é que a empresa está oferecendo muito dinheiro, mesmo comparado com outros programas de recompensa.

O pagamento mais alto que se tinha notícia era o do programa de recompensa por bugs da Microsoft, que oferece US$ 300 mil para encontrar uma vulnerabilidade relacionada a seu serviço de nuvem, Azure, e a Microsoft paga uma fração do que a Apple com falhas “clique zero”, que não exigem interação do usuário.

O Google, no entanto, oferece US$ 1 milhão para quem identificar alguma falha relacionada ao Titan M, o chip de segurança do smartphone Pixel, e corresponde à recompensa de US$ 100 mil da Apple por formas de burlar o bloqueio de tela.

O programa de recompensas por bugs da Apple é considerado problemático por alguns pesquisadores de segurança há um tempo.

Um pesquisador de segurança que descobriu uma falha do keychain (o administrador de senhas do macOS) no início deste ano, por exemplo, se envolveu em uma espécie de disputa pública com a empresa pela falta de um programa de recompensa mais abrangente. No passado, a empresa também enfrentou críticas por baixos pagamentos por bugs valiosos — embora os pagamentos tenham aumentado desde então.

O nível, no entanto, “é muito alto em termos de entrega”, disse o pesquisador de segurança Patrick Wardle ao ZDNet. Então, se você pensa neste programa como uma oportunidade para ficar rico, saiba que vai precisar de sorte, pois a tarefa não é nada fácil.