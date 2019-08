Historicamente, a Apple é uma das empresas de tecnologia com o programa de recompensas para pesquisadores de segurança mais miserável: comparada com algumas das principais concorrentes, a empresa oferece ferramentas pífias e pagamentos baixos para que os profissionais descubram falhas no seu software. Agora, isso está para mudar.

O chefe de segurança da Maçã, Ivan Krstić, subiu ao palco da conferência de segurança Black Hat 2019, em Las Vegas (EUA) para anunciar uma expansão significativa do programa de recompensas e pesquisa de software da empresa. Como especulado há algumas semanas, a mudança cobre várias frentes — a começar pelo fato de que, agora, ele é aberto a todos os pesquisadores interessados, em vez de ser limitado a desenvolvedores para iOS registrados.

Outro aspecto interessante do novo programa está no fato de que a Apple fornecerá, pela primeira vez, versões especiais do iPhone para que os pesquisadores façam suas análises. Esses dispositivos contam com acesso à root e ao SSH , além de ferramentas avançadas de debug, e serão distribuídos para pesquisadores que se candidatarem e “tiverem um histórico de análise de segurança de alta qualidade”.

Apple Bug Bounty. pic.twitter.com/jyD9UwU9pI — mikeb (@mikebdotorg) August 8, 2019 Programa de recompensas da Apple.

A introdução dos “iPhones de pesquisa” lida com dois problemas com uma tacada só: por um lado, o interesse dos pesquisadores (junto às outras mudanças, das quais falaremos em breve) aumentará; por outro, o mercado de iPhones paralelos, com versões de desenvolvedor contrabandeadas para fora da Apple, poderá ser enfraquecido — atualmente, essa é a forma preferida de muitos pesquisadores para encontrar falhas e vulnerabilidades no iOS.

Novo programa de recompensas

A Apple também aumentará significativamente o pagamento realizado a pesquisadores que descubram vulnerabilidades em seus sistemas. Enquanto o programa anterior estabelecia um valor máximo de US$200 mil para as falhas mais graves/importantes, agora certas brechas poderão render até US$1 milhão aos pesquisadores.

Eis uma relação básica das vulnerabilidades e seus valores de pagamento estimados:

Bugs que permitem acesso a um dispositivo bloqueado ou a uma conta do iCloud: até US$100 mil ;

; Vulnerabilidades que permitem ataques a um dispositivo por meio de um app ou de uma rede: até US$250 mil ;

; Falhas que possibilitam a invasão a um dispositivo pela rede sem interação do usuário: até US$1 milhão.

Por fim, mais uma novidade muito comemorada pela comunidade de pesquisa: a partir de agora, o programa de recompensas da Maçã não se limitará mais ao iOS: todos os outros sistemas da empresa (macOS, watchOS e tvOS) estão incluídos, e o iCloud também faz parte da iniciativa. Com isso, o interesse dos pesquisadores em encontrar falhas nos demais sistemas e serviços da empresa será fortemente aquecido, e todo o ecossistema da Maçã poderá ser fortalecido.

Boas novas, não?

via TechCrunch