manzana finalmente está dando a los investigadores de seguridad algo que han querido durante años: una recompensa por errores de macOS.
El gigante de la tecnología dijo el jueves que lanzará el programa de recompensas de errores para incluir Macs y MacBooks, así como Apple TV y Apple Watch, casi exactamente tres años después de que lanzó su programa de recompensas de errores para iOS.
La idea es simple: encuentra una vulnerabilidad, la divulga a Apple, la reparan y, a cambio, obtiene un pago en efectivo. Estos programas son muy populares en la industria de la tecnología, ya que ayuda a financiar a los investigadores de seguridad a cambio de serios defectos de seguridad que de otro modo podrían ser utilizados por actores maliciosos, y también ayuda a llenar el vacío de los buscadores de errores que venden sus vulnerabilidades para explotar a los corredores, y mercado negro, que podría abusar de los defectos para realizar la vigilancia.
Pero Apple se había demorado en desplegar una recompensa por errores en su gama de computadoras. Algunos investigadores de seguridad se habían negado rotundamente a informar de fallas de seguridad a Apple en ausencia de una recompensa por errores.
En la conferencia Black Hat en Las Vegas, el jefe de ingeniería y arquitectura de seguridad Ivan Krstić anunció que el programa se ejecutará junto con su actual recompensa de errores de iOS.
Patrick Wardle, experto en seguridad e investigador principal de seguridad en Jamf, dijo que la medida fue "obvia".
Wardle ha encontrado varias vulnerabilidades de seguridad importantes y descartó los días cero, detalles de fallas publicadas sin permitir que las compañías tengan la oportunidad de solucionarlo, citando la falta de una recompensa por errores de macOS. Ha criticado durante mucho tiempo a Apple por no tener una recompensa por errores, acusando a la compañía de dejar un vacío abierto para que los investigadores de seguridad vendan sus defectos para explotar a los corredores que a menudo usan las vulnerabilidades por razones nefastas.
"Por supuesto, contrataron a muchos investigadores talentosos y profesionales de la seguridad increíbles, pero aún así nunca tuvieron una relación transparente de beneficio mutuo con investigadores externos independientes", dijo Wardle.
"Claro que esto es una victoria para Apple, pero en última instancia es una gran victoria para los usuarios finales de Apple", agregó.
Apple dijo que abrirá su programa de recompensas de errores a todos los investigadores y aumentará el tamaño de la recompensa del máximo actual de $ 200,000 por exploit a $ 1 millón para un ataque de ejecución de código de núcleo de cadena completa con cero clic con persistencia, en otras palabras, si un atacante puede obtener el control completo de un teléfono sin ninguna interacción del usuario y simplemente conociendo el número de teléfono de un objetivo.
Apple también dijo que cualquier investigador que encuentre una vulnerabilidad en las compilaciones previas al lanzamiento que se informa antes del lanzamiento general calificará para obtener hasta un 50% de bonificación además de la categoría de vulnerabilidad que descubran.
Los programas de recompensas de errores estarán disponibles para todos los investigadores de seguridad a partir de este año.
La compañía también confirmó un informe de Forbes, publicado a principios de esta semana, que dice que dará una cantidad de iPhones "dev" a investigadores y hackers de seguridad investigados y confiables bajo el nuevo Programa de Dispositivo de Investigación de Seguridad iOS. Estos dispositivos son dispositivos especiales que brindan a los piratas informáticos un mayor acceso al software y al sistema operativo subyacente para ayudarlos a encontrar vulnerabilidades que generalmente están bloqueadas por otros investigadores de seguridad, como el shell seguro.
Apple dijo que espera expandir su programa de recompensas por errores alentará a más investigadores a revelar de manera privada fallas de seguridad, lo que ayudará a aumentar la protección de sus clientes.
Lee mas:
Apple restringe anuncios y rastreadores de terceros en aplicaciones de iPhone para niños
Nuevo libro analiza la lucha legal de Apple con el FBI
Apple ha promovido una actualización silenciosa de Mac para eliminar el servidor web oculto de Zoom
Muchas aplicaciones populares de iPhone registran en secreto su pantalla sin preguntar
Apple reprende el proyecto de ley de cifrado "peligrosamente ambiguo" de Australia
Apple Card hará que el fraude con tarjetas de crédito sea mucho más difícil
Source link