Cupertino avvia il programma di caccia alla vulnerabilità invitando i ricercatori a scovare le falle. Con lauti compensi.
Anche Apple ha deciso di avviare un programma di bug bounty, ossia di caccia al bug. Un programma che Mozilla, Google e molte altre aziende hanno da tempo e che permette – spesso e volentieri – di scoprire gravi problemi e vulnerabilità nei software grazie all’aiuto dei ricercatori di sicurezza e appassionati del tema di tutto il mondo. Le aziende, ovviamente, ricompensano i ricercatori per il lavoro svolto.
La scelta di Apple è stata annunciata dal capo della sicurezza software dell’azienda, Ivan Krstic, durante il Black Hat. Il programma prenderà il via a settembre e, forse per scusarsi del ritardo, avrà un tetto molto altro: fino a 200mila dollari di ricompensa per chi scopre i problemi più gravi, quelle nelle parti del firmware per l’avvio sicuro, la prima linea di difesa dei dispositivi.
Apple sarà disposta a pagare anche fino a 100mila dollari a chi troverà vulnerabilità che riguardano l’estrazione di materiale confidenziale protetto dal Secure Enclave Processor. L’azienda sborserà fino a 50mila dollari invece per falle che consentono l’esecuzione di codice arbitrario con privilegi kernel e lo stesso sarà fatto per chi troverà modo di accedere ai dati degli account iCloud. Per concludere Apple ricompenserà con un massimo di 25mila dollari chi scoverà falle che favoriscano l’accesso da un processo in una sandbox (una delle tecnologie più utilizzate per la sicurezza dei browser) ai dati utente fuori da quella sandbox.
Come detto, il programma prenderà il via a settembre, ma inizialmente sarà solo su invito, con alcune dozzine di ricercatori che saranno contattati dall’azienda. Apple prevede di ampliare il programma in seguito. La scelta di procedere con gli inviti è dettata dalla volontà di assicurarsi che partecipino al programma solo i ricercatori più validi e per garantire loro il giusto supporto.
Lascia un commento