Prima di procedere
Nel mese di novembre, Apple è pronta a potenziare il suo programma di ricompensa per la scoperta di vulnerabilità nel software, comunemente noto come Security Bounty. Questo programma, già tra i più generosi del settore, offrirà ricompense ancora più alte per premiare i ricercatori di sicurezza che riescono a identificare problemi critici.
La ricompensa massima per la scoperta di catene di exploit, che possono raggiungere obiettivi simili a quelli delle complesse attacchi con spyware, è aumentata da 1 milione di dollari a 2 milioni di dollari. Per la scoperta di vulnerabilità particolarmente critiche, la compagnia di Cupertino offre premi fino a 5 milioni di dollari.
Apple ha spiegato che è disposta a pagare cifre così elevate per individuare catene di exploit che non richiedono alcun intervento da parte degli utenti. Con vulnerabilità critiche, l'azienda intende quei bug presenti nelle versioni beta del software o i metodi che aggirano il blocco del browser Safari nella sua architettura di sicurezza aggiornata.
Inoltre, Apple ha incrementato da 250.000 a 1 milione di dollari il premio per la scoperta di catene di exploit che richiedono l'azione dell'utente. Una ricompensa simile è prevista per le scoperte di attacchi che necessitano di accesso fisico ai dispositivi. Se i ricercatori riportano attacchi con accesso a dispositivi bloccati, le ricompense possono arrivare fino a 500.000 dollari.
Coloro che dimostrano l'esecuzione di codice da contenuti web con uscita dalla sandbox potranno ottenere premi fino a 300.000 dollari.
Il Vicepresidente di Apple per lo sviluppo e l'architettura della sicurezza, Ivan Krstić, ha dichiarato che dal lancio e dal successivo ampliamento del programma, negli ultimi anni, Apple ha erogato circa 35 milioni di dollari a più di 800 ricercatori di sicurezza. I grandi premi sono piuttosto rari, ma è noto che Apple ha pagato più volte 500.000 dollari ai cosiddetti "hacker etici".
Apple ha sottolineato che le uniche attacchi a livello di sistema su iOS sono stati collegati a spyware storicamente collegati a strutture governative, utilizzati solitamente per colpire singole persone.
Con l'introduzione di nuove funzionalità come il blocco e l'integrità della memoria, l'azienda spera di incrementare significativamente la sicurezza delle sue piattaforme. Tuttavia, mentre i metodi dei cybercriminali si evolvono costantemente, Apple punta sull'aggiornamento del programma di ricompense per incentivare le ricerche avanzate sulle direzioni di attacco più critiche, nonostante la crescente complessità.
