Apple anuncia programa de recompensas para quem localizar bugs

Em seu histórico, a Apple sempre se recusou a pagar por falhas de segurança em seus sistemas. Mas agora isso mudou. O chefe de engenharia de segurança e arquitetura da gigante de tecnologia, Ivan Krstic, anunciou essa semana que a Apple começará a oferecer recompensas em dinheiro de até US$ 200 mil para quem descobrir vulnerabilidades em seus produtos – um dos maiores valores oferecidos pela indústria.

No passado, a Apple citou governos e mercados negros como razão para não entrar no negócio de recompensas. O FBI, por exemplo, teria pago cerca de US$ 1 milhão para quem conseguisse invadir um iPhone usado pelo atirador de San Bernardino em dezembro passado.

Segundo a Apple, a descoberta de vulnerabilidades está cada vez mais difícil para profissionais da própria empresa, muito em função do fortalecimento dos sistemas da companhia, e, por isso, a ideia agora de abrir a iniciativa para pesquisadores.

“Se uma empresa lança um programa de bugs, ela já nocauteou todas as possibilidades internas”, opina Alex Arroz, cofundador do programa de recompensas de bug HackerOne.

O programa de recompensas de bugs da Apple será direcionado apenas para convidados da Apple, especialmente para pesquisadores que já fizeram valiosas divulgações de vulnerabilidades para a empresa. No entanto, a Apple não vai se afastar de novos pesquisadores se eles fornecem informações úteis.

O programa será lançado em setembro com cinco categorias de risco e recompensa:

• Vulnerabilidades em componentes de firmware: até US$ 200 mil
• Vulnerabilidades que permitem extração de material confidencial do Enclave: até US$ 100 mil
• Execuções de códigos maliciosos ou arbitrários com privilégios do kernel: até US$ 50 mil
• Acesso a dados da conta do iCloud em servidores Apple: até US$ 50 mil
• Acesso a partir de um processo de área restrita aos dados dos usuários fora do sandbox: até US$ 25 mil

Para ganharem a recompensa, investigadores terão de fornecer uma prova de conceito de iOS e hardware. A recompensa será baseada em vários fatores: clareza do relatório de vulnerabilidade; novidade do problema e probabilidade de exposição do utilizador; e grau de interação do usuário necessário para explorar a vulnerabilidade.

A Apple planeja incentivar que pesquisadores doem o dinheiro para caridade. Se a Apple aprovar a instituição selecionada de um pesquisador, irá corresponder agregar mais dinheiro à doação.