www.elboletin.com

Apple hace público las recompensas económicas a los que descubran vulnerabilidades

Iphone
Ampliar
Iphone

Los informes que no incluyan la explotación funcional y solo tengan pruebas de concepto básicas solo optarán a recibir el 50 por ciento del máximo de pago.

viernes 20 de diciembre de 2019, 18:38h
Apple ha anunciado que va a hacer público su programa de recompensas que van desde los 25.000 al millón de dólares para cualquier investigador de seguridad que reporte alguna vulnerabilidad nueva que afecte a alguna de las últimas versiones de sus sistemas.
El programa Apple Security Bounty lleva activo desde el 2016 y se creó con el fin de encontrar lo antes posible cualquier vulnerabilidad para proteger a sus clientes. Anteriormente este programa solo era accesible para los investigadores selectos aprobados por la compañía, sin embargo ahora cualquier investigador podrá participar, si cumple con una serie de requisitos.

El primero de ellos es la elegibilidad. Para recibir una recompensa económica la vulnerabilidad que se reporta tiene que ocurrir en las últimas versiones disponibles de iOS, iPadOS, macOS, tvOS, watchOs de configuración estándar y cuando corresponda del último 'hardware' disponible.

Aquellos problemas que Apple desconoce y que pertenecen a versiones beta de desarrollador y públicas pueden generan un pago de bonificación del 50 por ciento. Los pagos se dividen por categorías y se determinan por el nivel de acceso al problema y la calidad del informe.

Los diferentes peligros pueden ser ataques a los dispositivos por acceso físico o por aplicación, con recompensas de entre 100.000 y 250.000 dólares. O también ataques de red ya sea con interacción de usuario o sin ella que van desde los 150.000 al millón de dólares.

Los informes que no incluyan la explotación funcional y solo tengan pruebas de concepto básicas solo optarán a recibir el 50 por ciento del máximo de pago. El informe debe de contener una descripción detallada del problema y los pasos para llevar al sistema al estado afectado.

También debe de incluir un 'exploit' confiable para el problema y debe de llevar la suficiente información para que la compañía sea capaz de reproducir esta vulnerabilidad. Hay una serie de características que si se dan en el error reportado se maximizará el pago.

Para ello el problema reportado tiene que afectar a múltiples plataformas, y también vale que afecte al último 'software' y 'hardware' disponible públicamente si son exclusivos de funciones o códigos recien agregados en las versiones beta.

Los investigadores se tienen que comprometer a no hacer públicas ninguna de las vulnerabilidades que encuentren hasta que Apple publique el aviso de seguridad con la actualización que resuelve el problema.
¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de EL BOLETIN

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.