Apple actualizó sus reglas del programa de recompensas por encontrar errores y anunció algunos cambios importantes durante una sesión informativa en la conferencia anual de seguridad de Black Hat ayer.
Entre las actualizaciones más importantes, se encuentra el aumento considerable de la recompensa máxima, que subió de 200 mil dólares a 1 millón de dólares, siendo ahora la mayor recompensa ofrecida por cualquier compañía tecnológica por informar vulnerabilidades en sus productos.
Los pagos de un millón de dólares serán recompensados a quien encuentra una grave vulnerabilidad de ejecución de código de kernel sin clic, que permita un control completo y persistente del kernel de un dispositivo. Las hazañas menos severas calificarán para pagos más pequeños.
Por lo tanto, a partir de ahora, el programa de recompensas de errores de Apple no solo se aplica a las vulnerabilidades en el sistema operativo iOS, sino también para todos los sistemas como MacOS, WatchOS, tvOS, iPadOS y iCloud.
Desde su inicio hace unos tres años, el programa de recompensas de errores de Apple solo recompensa a los investigadores de seguridad y a los cazadores de recompensas por encontrar vulnerabilidades en el sistema operativo móvil iOS, que seguirá hasta que el programa ampliado entre en vigencia en el otoño.
Por otro lado, a partir del siguiente año, Apple proporcionará iPhones previamente sometidos a un jail break, a una selección de investigadores de seguridad de confianza como parte del Programa de Dispositivos de Investigación de Seguridad de iOS. Este programa fue reportado por primera vez por Forbes.
Estos dispositivos tendrán un acceso mucho más profundo que los iPhones disponibles para los usuarios cotidianos, incluido el acceso a SSH, root shell y capacidades avanzadas de depuración, lo que permitirá a los investigadores buscar vulnerabilidades a nivel de shell seguro.
Aunque cualquiera puede solicitar uno de estos iPhones especiales de Apple, la compañía entregará solo un número limitado de estos dispositivos a investigadores calificados.
Además, Apple también ofrece un bono del 50% a los investigadores que encuentren e informen vulnerabilidades de seguridad en su software de pre lanzamiento antes de su lanzamiento público, lo que lleva su recompensa máxima a 1.5 millones de dólares.
Puedes solicitar el programa revisado de recompensas de errores de Apple a finales de este año, que estará abierto a todos los investigadores, en lugar de un número limitado de expertos en seguridad aprobados por Apple.
La expansión y el impulso masivo en el pago del programa de recompensas de errores de Apple, serán bienvenidos por los investigadores de seguridad y los cazadores de recompensas que revelan públicamente las vulnerabilidades que descubren en los productos de Apple o que las venden a proveedores privados como Zerodium, Cellebrite y Grayshift, que se ocupan de exploits 0-Day con fines de lucro.
