Historicamente, a Apple é uma das empresas de tecnologia com o programa de recompensas para pesquisadores de segurança mais miserável: comparada com algumas das principais concorrentes, a empresa oferece ferramentas pífias e pagamentos baixos para que os profissionais descubram falhas no seu software. Agora, isso está para mudar.
O chefe de segurança da Maçã, Ivan Krstić, subiu ao palco da conferência de segurança Black Hat 2019, em Las Vegas (EUA), para anunciar uma expansão significativa do programa de recompensas e pesquisa de software da empresa. Como especulado há algumas semanas, a mudança cobre várias frentes — a começar pelo fato de que, agora, ele é aberto a todos os pesquisadores interessados, em vez de ser limitado a desenvolvedores para iOS registrados.
Outro aspecto interessante do novo programa está no fato de que a Apple fornecerá, pela primeira vez, versões especiais do iPhone para que os pesquisadores façam suas análises. Esses dispositivos contam com acesso à root e ao SSH1Secure Shell, um protocolo de rede criptográfico para operação de serviços de rede de forma segura sobre uma rede insegura., além de ferramentas avançadas de debug, e serão distribuídos para pesquisadores que se candidatarem e “tiverem um histórico de análise de segurança de alta qualidade”.
A introdução dos “iPhones de pesquisa” lida com dois problemas com uma tacada só: por um lado, o interesse dos pesquisadores (junto às outras mudanças, das quais falaremos em breve) aumentará; por outro, o mercado de iPhones paralelos, com versões de desenvolvedor contrabandeadas para fora da Apple, poderá ser enfraquecido — atualmente, essa é a forma preferida de muitos pesquisadores para encontrar falhas e vulnerabilidades no iOS.
Novo programa de recompensas
A Apple também aumentará significativamente o pagamento realizado a pesquisadores que descubram vulnerabilidades em seus sistemas. Enquanto o programa anterior estabelecia um valor máximo de US$200 mil para as falhas mais graves/importantes, agora certas brechas poderão render até US$1 milhão aos pesquisadores.
Eis uma relação básica das vulnerabilidades e seus valores de pagamento estimados:
- Bugs que permitem acesso a um dispositivo bloqueado ou a uma conta do iCloud: até US$100 mil;
- Vulnerabilidades que permitem ataques a um dispositivo por meio de um app ou de uma rede: até US$250 mil;
- Falhas que possibilitam a invasão a um dispositivo pela rede sem interação do usuário: até US$1 milhão.
Por fim, mais uma novidade muito comemorada pela comunidade de pesquisa: a partir de agora, o programa de recompensas da Maçã não se limitará mais ao iOS: todos os outros sistemas da empresa (macOS, watchOS e tvOS) estão incluídos, e o iCloud também faz parte da iniciativa. Com isso, o interesse dos pesquisadores em encontrar falhas nos demais sistemas e serviços da empresa será fortemente aquecido, e todo o ecossistema da Maçã poderá ser fortalecido.
Boas novas, não?
via TechCrunch
Notas de rodapé
- 1Secure Shell, um protocolo de rede criptográfico para operação de serviços de rede de forma segura sobre uma rede insegura.