Apple abre un programa público de recompensas por errores y publica reglas oficiales


Logotipo de Apple

Imagen: Laurenz Heymann

Apple ha abierto formalmente su programa de recompensas de errores hoy a todos los investigadores de seguridad, después de anunciar la mudanza a principios de este año en agosto en la conferencia de seguridad Black Hat en Las Vegas.

Hasta hoy, Apple ejecutaba un programa de recompensas de errores basado en invitaciones solo para investigadores de seguridad seleccionados y solo aceptaba errores de seguridad de iOS.

A partir de hoy, la compañía aceptará informes de vulnerabilidad para un espectro mucho más amplio de productos que también incluye iPadOS, macOS, tvOS, watchOS e iCloud.

Además, la compañía también aumentó su recompensa máxima de recompensa por errores de $ 200,000 a $ 1,500,000, dependiendo de la complejidad y severidad de la cadena de explotación.

Apple publica reglas oficiales

Para hacerlo oficial, Apple también ha publicado una nueva página en su sitio web que detalla hoy las reglas del programa de recompensas de errores, junto con un desglose de las recompensas que los investigadores pueden ganar por los exploits que envían.

Las reglas son bastante estrictas y establecen una barra alta para ganar las mejores recompensas. Para ser elegible para los premios mayores y varios bonos, los investigadores deben presentar informes claros. Éstas incluyen:

  • Una descripción detallada de los problemas que se informan.
  • Cualquier requisito previo y pasos para llevar el sistema a un estado afectado.
  • Un exploit razonablemente confiable para el problema que se informa.
  • Suficiente información para que Apple pueda reproducir razonablemente el problema.

Los errores de seguridad que son novedosos, afectan a múltiples plataformas, funcionan en el último hardware y application, y los componentes sensibles al impacto brindarán a los investigadores una mayor oportunidad de obtener la recompensa de $ 1.5 millones.

Las vulnerabilidades encontradas en las versiones beta también son muy apreciadas. Apple dice que agregará un bono del 50% además del pago typical por cualquier error reportado en una versión beta.

La razón por la cual los errores en las versiones beta son muy apreciados es porque estos informes de errores le permiten a Apple corregir importantes fallas de seguridad antes de que lleguen a las versiones de producción de su application, donde impactarán miles de millones de dispositivos.

Apple también pagará un bono del 50% por errores de regresión. Estos son errores que Apple reparó anteriormente en versiones anteriores de su software package, pero que se han reintroducido accidentalmente en el código en un momento posterior.

Las vulnerabilidades que permiten ataques de clic cero o un clic son las que traerán a los investigadores el mejor dinero sin embargo, Apple exige una cadena de exploits completa para este tipo de presentaciones.

Si uno de estos ataques united states tres errores encadenados, el investigador tendrá que presentar una cadena de exploits completa que incorpore los tres errores, y no solo uno, si quieren obtener la máxima recompensa.

«Como algunos han notado, el listón está bastante alto en términos de entregables». Patrick Wardle, Investigador principal de seguridad de Jamf y experto en seguridad de Apple, le dijo a ZDNet hoy.

«Uno de los mayores desafíos de un programa de recompensas de errores es filtrar todos los informes deficientes, y saber qué es un mistake true / válido y el impacto que dicho mistake podría tener», dijo Wardle.

«Por lo tanto, requerir un exploit le da la responsabilidad al investigador, sí, pero también ayudará a Apple a comprender rápida y completamente qué errores deben priorizarse y, por lo tanto, corregirse (primero)».

A continuación se muestra el movie de Ivan Krstić, jefe de seguridad de Apple, que anuncia el programa público de recompensas de errores de Apple en Black Hat durante el verano (a las 38:05). Los archivos de presentación de Krstić están disponibles para descargar aquí. Debajo del video clip hay una imagen de los pagos que Apple está dispuesto a proporcionar a los investigadores de seguridad (fuente)

(incrustar) https://www.youtube.com/observe?v=3byNNUReyvE (/ incrustar)

apple-payouts.png "src =" https://zdnet3.cbsistatic.com/hub/i/2019/12/20/c7631d62-9159-476f-842c-fc582b5dc668/apple-payouts.png





Enlace a la noticia first