A Apple anunciou uma atualização significativa ao seu programa de recompensas de segurança (Security Bounty), elevando os prémios para valores recorde na indústria. A empresa duplicou a recompensa máxima, passando de 1 para 2 milhões de dólares, para incentivar a descoberta de vulnerabilidades complexas que possam ser exploradas por spyware mercenário sem qualquer interação por parte do utilizador.
Numa tentativa de se proteger contra as ameaças mais sofisticadas, a gigante de Cupertino está disposta a abrir os cordões à bolsa. A empresa detalhou as mudanças no seu blogue oficial de segurança, onde explica que o pagamento máximo pode mesmo ultrapassar os 5 milhões de dólares para a descoberta de falhas ainda mais críticas, como bugs em software beta ou formas de contornar o Modo de Isolamento (Lockdown Mode), uma arquitetura de segurança reforçada no Safari.
Uma fortuna para proteger os utilizadores
As novas tabelas de prémios não se ficam pelo valor máximo. A Apple aumentou substancialmente as recompensas em várias categorias para atrair os melhores talentos da cibersegurança. A descoberta de cadeias de exploração que necessitem de apenas um clique do utilizador pode agora render até 1 milhão de dólares, um aumento considerável face aos anteriores 250.000 dólares.
Da mesma forma, ataques que exijam proximidade física ao dispositivo veem a sua recompensa máxima subir para 1 milhão de dólares. Já para as vulnerabilidades que necessitem de acesso físico a um dispositivo bloqueado, o prémio foi duplicado para 500.000 dólares. Investigadores que consigam demonstrar uma execução de código no WebContent combinada com uma fuga à "sandbox" podem receber até 300.000 dólares.
O combate ao spyware mercenário
A Apple justifica este investimento massivo com a crescente sofisticação dos ataques. A empresa afirma que os únicos ataques ao nível do sistema iOS observados em cenários reais provieram de spyware mercenário, historicamente associado a atores estatais e usado para visar indivíduos específicos.
Com novas funcionalidades como o Modo de Isolamento e a "Memory Integrity Enforcement" (que combate vulnerabilidades de corrupção de memória), a Apple tornou estes ataques mais difíceis. No entanto, a empresa reconhece que os atacantes continuarão a evoluir as suas técnicas, esperando que as recompensas mais elevadas incentivem "investigação altamente avançada nas superfícies de ataque mais críticas, apesar da dificuldade acrescida".
Ivan Krstić, vice-presidente de engenharia e arquitetura de segurança da Apple, revelou à Wired que a empresa já atribuiu mais de 35 milhões de dólares a mais de 800 investigadores de segurança desde a criação do programa. Embora os pagamentos de topo sejam raros, a Apple já efetuou vários pagamentos de 500.000 dólares, mostrando o seu compromisso em recompensar quem ajuda a proteger o seu ecossistema.
Nenhum comentário
Seja o primeiro!