Em seu histórico, a Apple sempre se recusou a pagar por falhas de segurança em seus sistemas. Mas agora isso mudou. O chefe de engenharia de segurança e arquitetura da gigante de tecnologia, Ivan Krstic, anunciou essa semana que a Apple começará a oferecer recompensas em dinheiro de até US$ 200 mil para quem descobrir vulnerabilidades em seus produtos – um dos maiores valores oferecidos pela indústria.
No passado, a Apple citou governos e mercados negros como razão para não entrar no negócio de recompensas. O FBI, por exemplo, teria pago cerca de US$ 1 milhão para quem conseguisse invadir um iPhone usado pelo atirador de San Bernardino em dezembro passado.
Segundo a Apple, a descoberta de vulnerabilidades está cada vez mais difícil para profissionais da própria empresa, muito em função do fortalecimento dos sistemas da companhia, e, por isso, a ideia agora de abrir a iniciativa para pesquisadores.
“Se uma empresa lança um programa de bugs, ela já nocauteou todas as possibilidades internas”, opina Alex Arroz, cofundador do programa de recompensas de bug HackerOne.
O programa de recompensas de bugs da Apple será direcionado apenas para convidados da Apple, especialmente para pesquisadores que já fizeram valiosas divulgações de vulnerabilidades para a empresa. No entanto, a Apple não vai se afastar de novos pesquisadores se eles fornecem informações úteis.
O programa será lançado em setembro com cinco categorias de risco e recompensa:
• Vulnerabilidades em componentes de firmware: até US$ 200 mil
• Vulnerabilidades que permitem extração de material confidencial do Enclave: até US$ 100 mil
• Execuções de códigos maliciosos ou arbitrários com privilégios do kernel: até US$ 50 mil
• Acesso a dados da conta do iCloud em servidores Apple: até US$ 50 mil
• Acesso a partir de um processo de área restrita aos dados dos usuários fora do sandbox: até US$ 25 mil
Para ganharem a recompensa, investigadores terão de fornecer uma prova de conceito de iOS e hardware. A recompensa será baseada em vários fatores: clareza do relatório de vulnerabilidade; novidade do problema e probabilidade de exposição do utilizador; e grau de interação do usuário necessário para explorar a vulnerabilidade.
A Apple planeja incentivar que pesquisadores doem o dinheiro para caridade. Se a Apple aprovar a instituição selecionada de um pesquisador, irá corresponder agregar mais dinheiro à doação.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…