A Apple está a reforçar significativamente o seu programa de recompensas por descoberta de falhas de segurança (bug bounty), duplicando os pagamentos máximos, introduzindo novas categorias de investigação e apresentando uma estrutura de prémios mais transparente. Desde o lançamento do programa em 2020, a empresa já atribuiu 35 milhões de dólares a 800 investigadores.
Num esforço para combater ataques sofisticados, como os perpetrados por spyware mercenário, a gigante de Cupertino anunciou uma subida drástica nas suas recompensas. Conforme detalhado no seu blogue de segurança oficial, a empresa está mais empenhada do que nunca em proteger os seus utilizadores.
Novas recompensas milionárias
A recompensa mais elevada foi duplicada para 2 milhões de dólares, destinada a quem reportar vulnerabilidades críticas que permitam um ataque remoto sem qualquer interação do utilizador (zero-click). No entanto, este valor pode mais do que duplicar, ultrapassando os 5 milhões de dólares, graças a um sistema de bónus que premeia a descoberta de falhas no Modo de Isolamento (Lockdown Mode) ou em software beta.
"Este é um valor sem precedentes na indústria e o maior pagamento oferecido por qualquer programa de recompensas que conhecemos", afirmou a Apple.
Ataque remoto com um clique (interação do utilizador) - 1.000.000 USD
Ataque por proximidade sem fios - 1.000.000 USD
Acesso não autorizado alargado ao iCloud - 1.000.000 USD
Sequência de exploração no WebKit que leve à execução de código arbitrário - 1.000.000 USD
Ataque a um dispositivo bloqueado com acesso físico - 500.000 USD
Contorno da sandbox de uma app - 500.000 USD
Contorno da sandbox do WebKit com um clique - 300.000 USD
Contorno total do Gatekeeper do macOS sem interação do utilizador - 100.000 USD
Desafios e áreas de expansão
A Apple revelou que nunca recebeu um relatório que demonstrasse um contorno completo do Gatekeeper sem interação do utilizador ou um acesso alargado e não autorizado ao iCloud, tornando estas áreas desafios de topo para os caçadores de bugs.
A empresa também destacou que nunca observou um ataque zero-click no mundo real executado puramente por proximidade sem fios, justificando o aumento da recompensa nesta categoria de 250.000 para 1 milhão de dólares. Esta área foi igualmente expandida para incluir chips desenvolvidos pela Apple, como os modems C1 e C1X e o chip sem fios N1.
Reforçar a segurança para todos
Para além do programa de recompensas, a Apple planeia distribuir, em 2026, mil unidades seguras do iPhone 17 a membros de organizações da sociedade civil que correm um risco elevado de serem alvo de spyware. Estes mesmos dispositivos serão utilizados no Programa de Dispositivos de Investigação de Segurança da Apple no próximo ano, ao qual os investigadores se podem candidatar até 31 de outubro.
Com o aumento dos prémios, a Apple espera incentivar ainda mais os investigadores a reportar problemas de segurança, dificultando e encarecendo o desenvolvimento de cadeias de ataque sofisticadas por parte de fornecedores de spyware.
Nenhum comentário
Seja o primeiro!