A Apple vai pagar hackers que encontrarem brechas de segurança no Mac, iOS, watchOS e tvOS. Com previsão de lançamento em setembro, o programa de recompensas contará com cinco prêmios distribuídos de acordo com o tipo de problema detectado. No entanto, em decisão controversa, a companhia pede para que os comtemplados doem o valor recebido para caridade.
A informação foi confirmada na quinta-feira (4) pelo chefe de segurança e engenharia da Apple, Ivan Kritic, durante a conferência anual Black Hat, que aconteceu em Las Vegas. No evento, Kritic mostrou como funciona parte da estrutura de segurança do iOS 10 e, segundo ele, esse é um esforço da Apple para se tornar uma empresa mais aberta às modificações de segurança, uma tendência que já é seguida por várias empresas e que tem crescido nos últimos cinco anos.
Embora segurança seja uma das características cruciais da Apple para o mercado, ela historicamente tem se recusado a pagar por relatórios de erros. Dessa forma, esse é um passo importante para que colaborações de especialistas e hackers tornem os produtos da companhia melhores. “A Apple sempre teve uma relação difícil com investigadores. Ao longo dos últimos dez anos muita coisa mudou de forma positiva“, afirma o CEO da Securosis, Rich Mogull.
Inicialmente, o programa estará aberto apenas para convidados e pesquisadores que encontraram brechas de segurança em sistema da Apple no passado. O maior valor pago será de 200 mil dólares para vulnerabilidades encontradas em componentes de firmware de inicialização segura. Conheça as cinco categorias de recompensa do programa:
- Vulnerabilidades em componentes de firmware de inicialização segura: até US$ 200.000
- Vulnerabilidades que permitem captar material confidencial de estrutura Secure Enclave: até US$ 100.000
- Execuções de códigos maliciosos ou arbitrários com privilégios do Kernel: até US$ 50.000
- Acesso aos dados da conta do iCloud em servidores da Apple: Até US$ 50.000
- Acesso a partir de um processo da área restrita aos dados do usuário fora da sandbox: até US$ 25.000
Para ter direito ao prêmio, os investigadores terão que fornecer provas cabais sobre o problema encontrado. Com valor máximo estipulado para cada brecha, a Apple definirá o valor final pago na premiação através de vários fatores, entre eles a clareza do relatório, a probabilidade de exposição do usuário e o grau de exploração gerada pela vulnerabilidade.
O fato curioso é que os especialistas premiados são incentivados a doar o dinheiro para caridade. Dessa maneira, o pesquisador informaria à Apple a instituição. Caso ela seja aprovada, a empresa dobraria o valor da recompensa, beneficiando ainda mais a entidade.
via TechCrunch
