Apple ha aperto ufficialmente il suo programma di bug bounty a tutti i ricercatori di sicurezza, dopo che la società aveva annunciato il piano di espansione alla conferenza Black Hat di Las Vegas all’inizio di quest’anno.
Prima d’ora, il programma di bug bounty di Apple era basato su invito e non erano inclusi dispositivi non iOS. Come riportato da ZDNet, da questo momento qualsiasi ricercatore di sicurezza che individua bug in iOS, macOS, tvOS, watchOS o iCloud avrà diritto a ricevere un pagamento in contanti per rivelare la vulnerabilità ad Apple.
Apple ha inoltre aumentato la cifra della ricompensa da $ 200.000 per exploit a $ 1 milione a seconda della natura del bug di sicurezza. Un’esecuzione del codice del kernel a zero clic con persistenza guadagnerà l’importo massimo.
Apple afferma che aggiungerà un bonus del 50% oltre al pagamento standard per i bug riscontrati nel software beta, che consente alla società di risolvere il problema prima che la versione del sistema operativo diventi pubblica. Offre anche lo stesso bonus per i cosiddetti “bug di regressione“: si tratta di bug che Apple ha corretto in passato ma che sono stati accidentalmente reintrodotti in una versione successiva del software.
Apple ha pubblicato ulteriori informazioni sul suo sito Web che descrivono in dettaglio le regole del programma di bug bounty, nonché una suddivisione completa dei premi offerti ai ricercatori in base agli exploit che scoprono.
Durante l’invio dei report, i ricercatori devono includere una descrizione dettagliata del problema, una spiegazione dello stato del sistema quando l’exploit funziona e informazioni sufficienti per consentire a Apple di riprodurre in modo affidabile il problema.
Il prossimo anno, Apple prevede di fornire agli hacker “dev” e ai ricercatori di sicurezza controllati e fidati gli iPhone “dev“, o iPhone speciali che forniscono un accesso più profondo al software e al sistema operativo sottostanti che faciliteranno la scoperta delle vulnerabilità.
Questi iPhone vengono forniti come parte del prossimo programma iOS Security Research Device di Apple, che mira a incoraggiare ulteriori ricercatori sulla sicurezza a rivelare le vulnerabilità, portando infine a dispositivi più sicuri per i consumatori.
Leggi o Aggiungi Commenti