Ao contrário de empresas que pagam a hackers pelas vulnerabilidades que descobrirem, a Apple não tem um programa de bug bounty, promovendo que essas falhas sejam vendidas e comercializadas a empresas que as usam em benefício próprio.
A Apple gaba-se de ter os dispositivos mais seguros, mas há um aspecto em que a empresa tem uma política completamente diferente de muitas outras empresas tecnológicas. Enquanto que Google, Facebook e outras, promovem activamente a descoberta de bugs e vulnerabilidades, oferecendo recompensas generosas a quem as encontrar; a Apple não paga por vulnerabilidades descobertas (pelo menos publicamente), limitando-se a fazer referência à pessoa que as encontrou, em jeito de agradecimento, no seu site.
É algo que faz com que um hacker se sinta mais tentado a vender uma vulnerabilidade a quem pagar, e que também poderá contribuir para que no recente caso entre Apple e FBI, surjam interessados em vender essas vulnerabilidades ao FBI... desde que paguem o preço pedido. Embora, neste caso tudo indique que se trate de uma empresa (e não um hacker individual) que disponibiliza serviços que copiam o chip de memória, assim permitindo aplicar tentativas de brute-force até acertar no código (quando o iPhone "apaga a memória" por segurança, o sistema pode repor a imagem original e permite novas tentativas, repetindo-se o processo tantas vezes quantas forem necessárias.)
Será que era tempo de também a Apple lançar um programa de recompensas, minimizando a tentação das mesmas serem vendidas a quem pagar mais? Para uma empresa que faz "biliões", parece-me que seria bem mais apropriado que simplesmente esperar que hackers e investigadores o façam em troca de um agradecimento.
Sem comentários:
Enviar um comentário (problemas a comentar?)