A Apple está dando aos pesquisadores de segurança algo que eles queriam há anos: um programa de recompensas por bugs no macOS. A gigante de tecnologia informou nesta quinta-feira (08/08) que irá expandir o programa de recompensas para incluir também Macs e MacBooks, Apple TV e Apple Watch, quase três anos depois de ter lançado seu programa de recompensas por bugs no iOS.

A ideia é simples, você encontra uma vulnerabilidade, você a revela à Apple, eles a consertam – e em troca você recebe um pagamento em dinheiro. Estes programas são muito populares na indústria de tecnologia, uma vez que ajudam a financiar o trabalho de legítimos pesquisadores de segurança em troca de falhas de segurança graves que poderiam ser usadas por malfeitores, e também impedem que caçadores de bugs vendam as falhas no mercado negro, onde poderiam ser usadas para conduzir vigilância contra usuários ou em crimes cibernéticos.

Segundo a Apple, o tamanho máximo da recompensa será expandido dos atuais US$ 200.000 para US$ 1 milhão para um ataque de execução de código no kernel que comprometa toda a cadeia de software com “zero cliques”, ou seja, um ataque onde um invasor pode obter controle total de um telefone sem qualquer interação do usuário, simplesmente conhecendo o número de telefone do um alvo.

A Apple também disse que qualquer pesquisador que encontrar uma vulnerabilidade em versões de pré-lançamento do software e reportá-lo antes do lançamento ao público se qualifica para bônus de até 50% sobre o valor padrão para a categoria de vulnerabilidade encontrada.

A empresa também confirmou um relatório da Forbes, publicado no início desta semana, dizendo que vai entregar iPhones especialmente preparados para pesquisadores de segurança e hackers confiáveis, como parte do iOS Security Research Device Program. Esses dispositivos especiais darão aos hackers maior acesso ao software e sistema operacional para ajudá-los a encontrar vulnerabilidades normalmente bloqueadas.

A Apple disse que espera expandir seu programa de recompensas de bugs para encorajar mais pesquisadores a divulgar falhas privadamente, o que ajudará a aumentar a segurança de seus clientes. 

Via: TechCrunch