Apple expandió su programa de recompensas (Apple Security Bounty) para aquellos especialistas que reporten vulnerabilidades en los sistemas operativos iOS así como también en macOS, iPadOS, tvOS, watchOS o iCloud.
Ahora ya no sólo pueden reportar bugs algunos investigadores previamente seleccionados sino que el desafío está abierto para toda la comunidad. Apple, como muchas otras empresas de tecnología tiene estos programas de recompensas que tiene como finalidad mejorar la seguridad de sus sistemas.
El gigante informático comenzó con este programa en 2016 pero recién empezó a darle mayor alcance en este último año. En agosto, Apple anunció que expandirían esta iniciativa e incluirían mayores recompensas.
Así fue que se subió de un máximo de 200 mil dólares que era lo que ofrecían a un millón de dólares que es la recompensa máxima que se propone, para quienes encuentren vulnerabilidades críticas.
Cómo participar
La falla se tiene que buscar en la última versión del sistema operativo de iOS iPadOS, macOS, tvOS o watchOS con una configuración estándar y, cuando corresponda, en el último hardware disponible públicamente, se menciona en el comunicado oficial. A su vez, Para obtener el premio hay que tener en cuenta lo siguiente:
Hay que ser el primero en informar el problema a Apple
Se debe proporcionar un informe claro, que incluya un exploit de trabajo.
No se debe divulgar el problema públicamente antes de que Apple dé a conocer el aviso de seguridad para el informe. Usualmente el aviso se da a conocer junto con la actualización que soluciona el problema.
Los problemas que Apple desconoce y que son exclusivos de las versiones beta para desarrolladores y las versiones beta públicas, pueden generar un pago de bonificación del 50%. pero no todos los fallos en estas versiones derivarán en la obtención de un bono.
La recompensa está establecido por categoría y por el nivel de acceso o ejecución que se alcanzó en relación a ese problema hallado. El monto máximo es de un millón de dólares. Aquí, un detalle de los valores máximos por categoría
Quienes quieran participar del evento pueden leer más detalles en la página oficial de anuncio y enviar el reporte por correo a product-security@apple.com. Se sugiere que la comunicación sea cifrada y que se envíen todos lo detalles posibles, desde el diagnóstico y descripción de la vulnerabilidad hasta videos que den cuenta del fallo en cuestión.
Cómo se mencionó anteriormente, es habitual que las grandes compañías de tecnología tengan programas de recompensa que buscan afianzar la solidez de sus sistemas operativo con ayuda de la comunidad IT. En agosto, por ejemplo, Microsoft anunció que ofrecería hasta 300 mil dólares en el marco de esta iniciativa que ahora ya está cerrada.
La recompensa era para quien pudiera vulnerar su plataforma Azure. La compañía decidió, al igual que Apple, ofrecer recompensas más grandes de las que venía otorgando en su programa y también aprovechó para anunciar el lanzamiento de un nuevo entorno de trabajo de investigación, denominado Azure Security Lab.
La idea siempre es que los investigadores hallen el problema y lo reporten a las compañías afectadas para que éstas puedan encontrar una solución al problema y puedan ofrecerla mediante la actualización de sus sistemas operativos. Lo que se busca evitar es que los ciberespecialistas publiquen abiertamente sus hallazgos sin avisar antes a las empresas afectadas porque, de hacerlo, están dando a conocer una herramienta que podría eventualmente ser explotada para realizar un ataque
MÁS SOBRE ESTE TEMA: