Il colosso di Cupertino aumenta le taglie del suo programma bug bounty per attirare nuovi talenti. In arrivo anche iPhone speciali per collaudare le vulnerabilità.
Durante la Black Hat, l’annuale conferenza sulla sicurezza informatica che si tiene nella città Las Vegas, l’azienda di Cupertino ha sconvolto lo scenario del bug bounty annunciando di aver alzato a un milione di dollari la ricompensa che andrà a chiunque sarà in grado di riportare le segnalazioni dei bug relativi a exploit e vulnerabilità di macOs, tvOs, watchOs, iCloud e di tutti i dispositivi iOs.
Il gigante tecnologico ha aumentato la taglia da 200 mila a un milione di dollari, come ha informato il responsabile security engineering di Apple, Ivan Krstić. Il programma di bug bounty è stato avviato dall’azienda nell’agosto del 2016 con delle taglie sui bug che partivano dai 25 mila dollari. Con il passare del tempo però Apple si è resa conto che le taglie erano troppo basse rispetto alla prospettiva di guadagno che avrebbero avuto gli esperti nel rivendere tali vulnerabilità nel darkweb.
Finora la taglia da un milione di dollari è la ricompensa più alta offerta da aziende di questo tipo, per la segnalazione delle vulnerabilità dei propri progetti. Da quanto si può apprendere da Forbes inoltre, Apple avrebbe intenzione di regalare ai partecipanti del suo programma di bug bounty degli iPhone speciali, chiamati “dispositivi per sviluppatori”, con lo scopo di esaminare le vulnerabilità, le falle e i malfunzionamenti, prima della grande distribuzione.
Attualmente però, questo particolare programma di bug bounty è riservato a un numero limitato di esperti di sicurezza approvati direttamente da Apple. Con questo innalzamento del premio, però, l’azienda potrebbe aprire il programma a tutti i ricercatori di sicurezza entro la fine del 2019. Il milione di dollari messo in palio sarà dedicato ai ricercatori che troveranno il metodo di hackerare il kernel di iOS con zero click.
Ricompense inferiori ai 500 mila dollari saranno invece dedicate a chi riuscirà a compiere un “attacco di rete che non richiede interazioni da parte dell’utente”. In conclusione, ci sarà un bonus pari al 50% della taglia per gli hacker che troveranno i bug di un software prima che questo venga reso disponibile sul mercato.