Como prometió Apple en agosto de este año, la compañía finalmente abrió hoy su programa de recompensas por errores a todos los investigadores de seguridad, ofreciendo recompensas monetarias a cualquiera que informe vulnerabilidades en iOS, macOS, watchOS, tvOS, iPadOS e iCloud a la empresa.
Desde su lanzamiento hace tres años, Programa de recompensas por errores de Apple estaba abierto solo para investigadores de seguridad seleccionados en base a una invitación y solo fue recompensado por informar vulnerabilidades en el sistema operativo móvil iOS.
Sin embargo, hablando en una conferencia de piratería en agosto de este año, Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad de Apple en Apple, anunció el próximo programa extendido de recompensas por errores de la compañía que incluía tres aspectos destacados principales:
- un enorme aumento en la recompensa máxima de $ 200,000 a $ 1.5 millones,
- aceptar informes de errores para todos sus sistemas operativos y hardware más reciente,
- apertura del programa para todos los investigadores.
Ahora, a partir de hoy, todos los investigadores de seguridad y piratas informáticos son elegibles para recibir un pago en efectivo por encontrar y divulgar responsablemente una vulnerabilidad de seguridad válida en las «últimas versiones disponibles públicamente de iOS, iPadOS, macOS, tvOS o watchOS con una configuración estándar». como fue anunciado por primera vez por Krstić en Twitter.
Incluso después de enviar un error de seguridad válido, los investigadores deben seguir algunas reglas básicas de elegibilidad para recibir recompensas, lo que incluye informar los detalles directamente al equipo de seguridad de Apple sin revelar nada al público hasta que la empresa publique un parche y proporcione un informe claro con un trabajo. explotar.
Como se muestra en el cuadro de pago de recompensas por errores anterior, se otorgará $ 1 millón solo a aquellos que envíen un exploit de ejecución de código kernel grave y mortal en el que no se puede hacer clic que podría permitir el control completo y persistente de un dispositivo objetivo.
¿Y lo que es más? Además de su recompensa máxima de $ 1 millón, Apple también ofrecerá una bonificación del 50 % a quienes encuentren e informen vulnerabilidades en su software de prelanzamiento (versión beta) antes de su lanzamiento público, lo que eleva su recompensa máxima a $ 1,5 millones.
Además de esto, Apple ahora también pagará una bonificación adicional del 50 % sobre el monto de la recompensa elegible por informar una vulnerabilidad de «regresión» que la empresa parchó en versiones anteriores de su software, pero que reintrodujo «por error» en una versión beta para desarrolladores o una versión beta pública.
El programa Apple Security Bounty también tiene como objetivo alentar a los piratas informáticos que divulgan públicamente las vulnerabilidades de seguridad que descubrieron en los productos de Apple o las venden a proveedores privados como Zerodium, Cellebrite y Grayshift, que se ocupan de las vulnerabilidades de seguridad de día cero.