Apple hace público las recompensas económicas a los que descubran vulnerabilidades

Apple hace público las recompensas económicas a los que descubran vulnerabilidades

Los informes que no incluyan la explotación funcional y solo tengan pruebas de concepto básicas solo optarán a recibir el 50 por ciento del máximo de pago.

Iphone

Apple ha anunciado que va a hacer público su programa de recompensas que van desde los 25.000 al millón de dólares para cualquier investigador de seguridad que reporte alguna vulnerabilidad nueva que afecte a alguna de las últimas versiones de sus sistemas. El programa Apple Security Bounty lleva activo desde el 2016 y se creó con el fin de encontrar lo antes posible cualquier vulnerabilidad para proteger a sus clientes. Anteriormente este programa solo era accesible para los investigadores selectos aprobados por la compañía, sin embargo ahora cualquier investigador podrá participar, si cumple con una serie de requisitos.

El primero de ellos es la elegibilidad. Para recibir una recompensa económica la vulnerabilidad que se reporta tiene que ocurrir en las últimas versiones disponibles de iOS, iPadOS, macOS, tvOS, watchOs de configuración estándar y cuando corresponda del último ‘hardware’ disponible.

Aquellos problemas que Apple desconoce y que pertenecen a versiones beta de desarrollador y públicas pueden generan un pago de bonificación del 50 por ciento. Los pagos se dividen por categorías y se determinan por el nivel de acceso al problema y la calidad del informe.

Los diferentes peligros pueden ser ataques a los dispositivos por acceso físico o por aplicación, con recompensas de entre 100.000 y 250.000 dólares. O también ataques de red ya sea con interacción de usuario o sin ella que van desde los 150.000 al millón de dólares.

Los informes que no incluyan la explotación funcional y solo tengan pruebas de concepto básicas solo optarán a recibir el 50 por ciento del máximo de pago. El informe debe de contener una descripción detallada del problema y los pasos para llevar al sistema al estado afectado.

También debe de incluir un ‘exploit’ confiable para el problema y debe de llevar la suficiente información para que la compañía sea capaz de reproducir esta vulnerabilidad. Hay una serie de características que si se dan en el error reportado se maximizará el pago.

Para ello el problema reportado tiene que afectar a múltiples plataformas, y también vale que afecte al último ‘software’ y ‘hardware’ disponible públicamente si son exclusivos de funciones o códigos recien agregados en las versiones beta.

Los investigadores se tienen que comprometer a no hacer públicas ninguna de las vulnerabilidades que encuentren hasta que Apple publique el aviso de seguridad con la actualización que resuelve el problema.

Más información