Dopo Ibm, Google, Facebook e altre grandi aziende del tech, anche Apple si prepara a lanciare il proprio programma di bug bounty, riconoscendo a favore dei ricercatori informatici che troveranno vulnerabilità nelle ultime versioni dei dispositivi e dei sistemi iOS ricompense fino a 200mila dollari. Ad annunciarlo nelle scorse ore è stato Ivan Krstic, capo della security engineering and architecture del gigante di Cupertino, durante un intervento al Black Hat che si è appena concluso a Las Vegas.
Il programma, ha spiegato Krstic, sarà inizialmente aperto solo ai ricercatori informatici invitati direttamente da Apple, con la prospettiva futura però di ampliarne la partecipazione a tutti i “cacciatori” di bug.
I premi sono previsti in favore di coloro che riferiranno di vulnerabilità riscontrate in cinque diverse categorie tecnologiche, quattro delle quali attinenti ai dispositivi e una a falle nei servizi iCloud.
La ricompensa massima fino a 200mila dollari è messa in palio per i ricercatori che rileveranno vulnerabilità nei firmware boot, usati per evitare il funzionamento di applicazioni non autorizzate nei dispositivi iOS. Seguono poi i premi (fino a 100mila dollari) per la scoperta di bug che permettono l’estrazione di contenuti riservati protetti tramite il Secure enclave processor (Sep), una componente hardware che consente il funzionamento di varie funzioni critiche sui dispositivi mobili Apple, come operazioni crittografiche ad esempio. Pagamenti fino a 50mila dollari saranno poi erogati a coloro che troveranno vulnerabilità che permettono l’esecuzione di codici arbitrari nei sistemi con privilegi kernel o che facilitano l’accesso non autorizzato negli account iCloud dei server Apple. Il rilevamento di altri tipi di falle nella sicurezza saranno infine ripagati con somme fino a 10mila dollari.
I pagamenti saranno effettuati solo dopo che gli esperti informatici della Apple avranno valutato il tipo di vulnerabilità riferita e riscontrato che sia presente nell’ultima versione iOS. Una volta portata a termine questa verifica, i tecnici stimeranno la somma da elargire sulla base di criteri quali la novità della vulnerabilità e la gravità della minaccia per la sicurezza.
