A Apple vai pagar hackers até US $ 1 milhão para relatar vulnerabilidades

A Apple acaba de atualizar as regras de seu programa de recompensas de bugs anunciando algumas mudanças importantes durante um briefing na conferência de segurança anual da Black Hat, ontem.

Apple aumentou enormemente a recompensa máxima pelo seu programa de recompensas de bug entre US $ 200.000 e US $ 1 milhão – que é de longe a maior recompensa oferecida por qualquer grande empresa de tecnologia por reportar vulnerabilidades em seus produtos. Os pagamentos de US $ 1 milhão serão recompensados ​​por uma grave exploração mortal – uma vulnerabilidade de execução de código do kernel com zero clique que permite o controle completo e persistente do kernel de um dispositivo. Explorações menos severas serão qualificadas para pagamentos menores. O que mais?

A partir de agora, o programa de recompensas de bugs da Apple não é apenas aplicável para encontrar vulnerabilidades de segurança no sistema operacional móvel iOS, mas também abrange todos os seus sistemas operacionais, incluindo macOS , watchOS, tvOS, iPadOS e iCloud.

Desde a sua criação há cerca de três anos, o programa de recompensas da Apple só recompensa pesquisadores de segurança e caçadores de recompensas por descobrir vulnerabilidades no sistema operacional móvel iOS, que continuará até que o programa expandido entre em vigor.

Você está animado? Aqui está um iPhone especial que pode ser seu …

A partir do ano que vem, a Apple também fornecerá iPhones pré-jailbroken para uma seleção de pesquisadores de segurança confiáveis ​​como parte do iOS Security Research Device Program. O novo programa foi relatado pela primeira vez pela Forbes.

Esses dispositivos terão acesso muito mais profundo do que os iPhones disponíveis para os usuários do dia-a-dia, incluindo acesso ao ssh, shell de root e recursos avançados de depuração, permitindo que os pesquisadores procurem por vulnerabilidades no nível de shell seguro.

Embora qualquer um possa se inscrever para receber um desses iPhones especiais da Apple, a empresa distribuirá apenas um número limitado desses dispositivos e apenas para pesquisadores qualificados.

Não é convincente o suficiente? Recompensas bônus também estão esperando por você …

Além de sua recompensa máxima de US $ 1 milhão, a Apple também oferece um bônus de 50% para pesquisadores que encontrarem e reportarem vulnerabilidades de segurança em seu software de pré-lançamento (versão beta) antes de seu lançamento público – Trazer sua recompensa máxima para US $ 1,5 milhão.

Você pode se inscrever para o programa revisado de recompensas de bug da Apple no final deste ano, que será aberto a todos os pesquisadores, em vez de um número limitado de especialistas em segurança aprovados pela Apple.

A expansão e enorme impulso no pagamento do programa de bug generosidade da Apple são susceptíveis de ser recebido por pesquisadores de segurança e caçadores bug de recompensa que quer publicamente divulgar vulnerabilidades eles descobertos em produtos da Apple ou vendê-lo para os fornecedores privados, como Zerodium , Cellebrite , e Grayshift que lidam em explorações de dia zero, para lucro.