A Apple actualizou o seu programa de recompensas por vulnerabilidades e aumentou a recompensa máxima para 2 milhões de dólares para falhas graves que possam permitir a infecção por spyware. A empresa diz que, com bónus para bypass do Lockdown Mode e bugs encontrados em versões beta, os pagamentos totais poderão ultrapassar os 5 milhões de dólares, e afirma que se trata do maior montante oferecido por qualquer programa deste tipo.
O programa passa a valorizar cadeias completas de exploração (várias falhas encadeadas) em vez de vulnerabilidades isoladas, alinhando-se com a realidade dos ataques. Vectores de ataque com entrada remota e categorias com impacto real recebem recompensas muito superiores; categorias menos realistas recebem valores mais baixos. A Apple introduz "Target Flags" (provas ao estilo CTF) em que o investigador captura uma flag que indica o nível de acesso obtido (por exemplo, execução de código ou leitura/escrita arbitrária), e assim que a Apple valida a flag o investigador recebe notificação imediata e o pagamento no próximo ciclo, sem que tenha que esperar pela correcção. Há também bónus para bypass do Lockdown Mode e para vulnerabilidades descobertas em software beta.
As mudanças entram em vigor em Novembro de 2025. A Apple afirma ter pago mais de 35 milhões de dólares a mais de 800 investigadores desde que abriu o programa público em 2020. Ainda assim, se por um lado esta actualização demonstra a preocupação (necessária) com a segurança dos seus produtos, são também muitos os casos de investigadores que partilham histórias caricatas de falhas de segurança que a Apple se recusa a reconhecer como sendo falhas, e que resultam em recompensas nulas - ou ainda outras que acabam por ser corrigidas pela Apple sem que esta sequer dê o devido reconhecimento aos investigadores que as reportaram.
Sem comentários:
Enviar um comentário (problemas a comentar?)