Apple sta introducendo un programma di bug bounty esteso che copre macOS, tvOS, watchOS e iCloud, nonché i dispositivi iOS, ha annunciato questo pomeriggio il capo dell'ingegneria della sicurezza di Apple Ivan Krstić alla conferenza Black Hat a Las Vegas.
Apple ha introdotto il suo programma di bug bounty per i dispositivi iOS nell'agosto del 2016, consentendo ai ricercatori di sicurezza che individuano i bug in iOS di ricevere un pagamento in contanti per aver rivelato la vulnerabilità ad Apple. Prima d'ora, i dispositivi non iOS non erano inclusi, una mossa che è stata precedentemente criticata dalla comunità della sicurezza.
La mancanza di un programma di ricompensa per i bug di macOS da parte di Apple ha fatto notizia all'inizio di quest'anno quando un adolescente tedesco inizialmente si è rifiutato di consegnare i dettagli di un grave difetto di sicurezza del portachiavi macOS perché Apple non aveva un pagamento. Mentre alla fine ha fornito le informazioni ad Apple, ha detto che sperava che il suo rifiuto avrebbe ispirato Apple ad espandere il suo programma di bug bounty, cosa che l'azienda ha effettivamente fatto.
Con il lancio del nuovo programma bug bounty di macOS, Apple aprirà i suoi bug bounty a tutti i ricercatori entro la fine dell'anno e aumenterà la dimensione massima della taglia da $ 200.000 per exploit a $ 1 milione a seconda della natura del difetto di sicurezza. Un'esecuzione del codice del kernel senza clic con persistenza guadagnerà l'importo massimo.
I ricercatori che scoprono vulnerabilità nel software pre-release prima del rilascio generale possono beneficiare di un bonus fino al 50 percento in aggiunta all'importo del bug bounty di base.
Come riportato all'inizio di questa settimana , Apple prevede inoltre di fornire a ricercatori e hacker di sicurezza verificati e affidabili iPhone 'dev', ovvero iPhone speciali che forniscono un accesso più approfondito al software e al sistema operativo sottostanti che renderanno più facile la scoperta delle vulnerabilità.
Apple fornisce questi iPhone come parte del suo nuovo programma iOS Security Research Device, che verrà lanciato il prossimo anno. L'obiettivo di Apple con questi nuovi sforzi di ricompensa dei bug è incoraggiare ulteriori ricercatori sulla sicurezza a rivelare le vulnerabilità, portando in definitiva a dispositivi più sicuri per i consumatori.
(Grazie, SecuritySteve!)
Messaggi Popolari