Cumpliendo con lo prometido en agosto de este año, Apple finalmente abrió su programa de recompensas de errores a todos los investigadores de seguridad, ofreciendo recompensas monetarias a cualquier persona por reportar vulnerabilidades en iOS, macOS, WatchOS, tvOS, iPadOS e iCloud.
Desde su lanzamiento hace tres años, el programa de recompensas de errores de Apple estaba abierto solo para investigadores de seguridad seleccionados por invitación y solo fue recompensado por informar vulnerabilidades en el sistema operativo móvil iOS.
Sin embargo, hablando en una conferencia de hacking en agosto de este año, Ivan Krstic, jefe de Ingeniería y Arquitectura de Seguridad Apple, anunció el próximo programa extendido de recompensas de errores de la compañía, que incluyó tres aspectos principales:
- Un aumento enorme en la recompensa máxima de 200 mil a 1.5 millones de dólares
- Aceptar informes de errores para todos sus sistemas operativos y hardware más reciente
- Abrir el programa para todos los investigadores
A partir de hoy, todos los investigadores de seguridad y piratas informáticos son elegibles para recibir un pago en efectivo por encontrar y divulgar de forma responsable una vulnerabilidad de seguridad válida en las «últimas versiones disponibles públicamente de iOS, iPadOS, MacOS, TVOS y WatchOS con una configuración estándar», como fue anunciado por primera vez por Krstic en Twitter.
Incluso después de enviar un error de seguridad válido, los investigadores deben seguir algunas reglas básicas de elegibilidad para recibir recompensas, que incluyen informar los detalles directamente al equipo de seguridad de Apple sin revelar nada al público hasta que la compañía publique un parche y proporcione un informe claro con un trabajo de explotación.
Se otorgará un millón de dólares a quienes presenten una grave explotación mortal de ejecución de código de kernel sin clics, que pueda permitir un control completo y persistente de un dispositivo objetivo.
Además de la recompensa máxima de 1 millón de dólares, Apple también ofrecerá un bono del 50% a quienes encuentren e informen vulnerabilidades en su software de prelanzamiento antes del lanzamiento público, lo que elevará la recompensa máxima a 1.5 millones de dólares.
Por si fuera poco, Apple también pagará un bono adicional del 50% sobre el monto de recompensa elegible a quien informe una vulnerabilidad de regresión que la compañía parchó en versiones anteriores de su software, pero reintrodujo «por error» en una versión beta pública o beta para desarrolladores.
El programa Apple Security Bounty tiene como objetivo alentar a los hackers que revelan de forma pública las vulnerabilidades de seguridad que descubren en productos Apple o que las venden a proveedores privados como Zeodium, Cellebritey o Grayshift, que se dedican a revender vulnerabilidades de día cero.
