Apple fornecerá iPhones desbloqueados para pesquisa de segurança; programa de recompensas é expandido macOS, watchOS, tvOS e iCloud também são cobertos pelo programa, agora

Historicamente, a Apple é uma das empresas de tecnologia com o programa de recompensas para pesquisadores de segurança mais miserável: comparada com algumas das principais concorrentes, a empresa oferece ferramentas pífias e pagamentos baixos para que os profissionais descubram falhas no seu software. Agora, isso está para mudar.

O chefe de segurança da Maçã, Ivan Krstić, subiu ao palco da conferência de segurança Black Hat 2019, em Las Vegas (EUA), para anunciar uma expansão significativa do programa de recompensas e pesquisa de software da empresa. Como especulado há algumas semanas, a mudança cobre várias frentes — a começar pelo fato de que, agora, ele é aberto a todos os pesquisadores interessados, em vez de ser limitado a desenvolvedores para iOS registrados.

Outro aspecto interessante do novo programa está no fato de que a Apple fornecerá, pela primeira vez, versões especiais do iPhone para que os pesquisadores façam suas análises. Esses dispositivos contam com acesso à root e ao SSH1, além de ferramentas avançadas de debug, e serão distribuídos para pesquisadores que se candidatarem e “tiverem um histórico de análise de segurança de alta qualidade”.

Programa de recompensas da Apple.

A introdução dos “iPhones de pesquisa” lida com dois problemas com uma tacada só: por um lado, o interesse dos pesquisadores (junto às outras mudanças, das quais falaremos em breve) aumentará; por outro, o mercado de iPhones paralelos, com versões de desenvolvedor contrabandeadas para fora da Apple, poderá ser enfraquecido — atualmente, essa é a forma preferida de muitos pesquisadores para encontrar falhas e vulnerabilidades no iOS.

Novo programa de recompensas

A Apple também aumentará significativamente o pagamento realizado a pesquisadores que descubram vulnerabilidades em seus sistemas. Enquanto o programa anterior estabelecia um valor máximo de US$200 mil para as falhas mais graves/importantes, agora certas brechas poderão render até US$1 milhão aos pesquisadores.

Eis uma relação básica das vulnerabilidades e seus valores de pagamento estimados:

  • Bugs que permitem acesso a um dispositivo bloqueado ou a uma conta do iCloud: até US$100 mil;
  • Vulnerabilidades que permitem ataques a um dispositivo por meio de um app ou de uma rede: até US$250 mil;
  • Falhas que possibilitam a invasão a um dispositivo pela rede sem interação do usuário: até US$1 milhão.

Por fim, mais uma novidade muito comemorada pela comunidade de pesquisa: a partir de agora, o programa de recompensas da Maçã não se limitará mais ao iOS: todos os outros sistemas da empresa (macOS, watchOS e tvOS) estão incluídos, e o iCloud também faz parte da iniciativa. Com isso, o interesse dos pesquisadores em encontrar falhas nos demais sistemas e serviços da empresa será fortemente aquecido, e todo o ecossistema da Maçã poderá ser fortalecido.

Boas novas, não?

via TechCrunch

Taggeado:

Posts relacionados

Comentários