Como se prometió por primera vez en agosto pasado, el programa de recompensas de "errores" de Apple ahora está abierto a todos.
Anteriormente esta iniciativa estaba disponible solo invitación. Esa modalidad atraía críticas ya que incentivaba a los no invitados a vender detalles a empresas y gobiernos que los explotarían para obtener acceso no autorizado a los dispositivos Apple.
Recientemente, Apple había aumentado los pagos máximos después de las quejas sobre las bajas recompensas, por lo que es más probable que incluso los invitados se vean tentados a vender vulnerabilidades de seguridad en el mercado negro por sumas mucho más altas.
Para ser elegible para un Apple Security Bounty, el problema debe ocurrir en las últimas versiones disponibles de iOS, iPadOS, macOS, tvOS o watchOS con una configuración estándar y, cuando corresponda, en el último hardware disponible públicamente.
Estas reglas de elegibilidad están destinadas a proteger a los clientes hasta que haya una actualización disponible, garantizar que Apple pueda verificar rápidamente los informes y crear las actualizaciones necesarias, y recompensar adecuadamente a aquellos que realizan una investigación original.
Los investigadores o seleccionados para hallar los errores y fallas deben:
– Ser el primero en informar el problema a Apple Product Security.
– Proporcionar un informe claro, que incluya un exploit de trabajo.
– No divulgar el problema públicamente antes de que Apple notifique el aviso de seguridad con su informe.
Los problemas que Apple desconoce y que son exclusivos de las versiones beta del desarrollador designadas y las versiones beta públicas, incluidas las regresiones, pueden generar un pago de bonificación del 50%.
La empresa ha publicado una hoja de tarifas de pagos máximos, que van desde $ 100.000 a $ 1 millones de dólares, aunque el bono beta del 50% significa que el pago máximo es de $ 1,5 millones. Apple también pagará la misma cantidad nuevamente a una organización benéfica.
El objetivo de Apple Security Bounty es proteger a los clientes mediante la comprensión de las vulnerabilidades y sus técnicas de explotación.