Apple ha anunciado que ha aumentado su recompensa máxima del programa público de recompensas por errores a 2 millones de dólares por encontrar cadenas de exploits que logren objetivos similares a los ataques de 'spyware' mercenario, consolidándose como la recompensa "más alta de la industria".
Activo desde 2016, los de Cupertino hicieron público su programa de recompensas económicas Apple Security Bounty para investigadores que descubran nuevas vulnerabilidades en el año 2019, con el fin de encontrar lo antes posible cualquier incidente o fallo y proteger a los usuarios.
Desde entonces, la compañía ha otorgado recompensas valoradas en más de 35 millones de dólares a más de 800 investigadores de seguridad. De entre ellos, varios informes individuales obtuvieron recompensas de 500.000 dólares.
Ahora, Apple ha anunciado que el programa Apple Security Bounty incluirá las recompensas "más altas de la industria", así como categorías de investigación ampliadas y un sistema de banderas para que los investigadores demuestren de forma "más objetiva" las vulnerabilidades.
En concreto, el fabricante de iPhone ha indicado que duplica su recompensa máxima ampliándola hasta los 2 millones de dólares (alrededor de 1,7 millones de euros al cambio) para cadenas de exploits que "logren objetivos similares a los sofisticados ataques de 'spyware' mercenario".
Tal y como ha detallado en un comunicado en su blog, esta recompensa es una cantidad "sin precedentes en la industria" y "el mayor pago ofrecido por cualquier programa de recompensas" conocido.
A las recompensas ampliadas se le suma que el sistema de bonificaciones podrá superar los 5 millones de dólares. Este sistema ofrece recompensas adicionales a los investigadores por eludir el Modo de Bloqueo y descubrir vulnerabilidades en el 'software' beta.
Siguiendo esta línea, Apple también ha aumentado significativamente las recompensas en otras categorías con el fin de "fomentar una investigación más exhaustiva". Por ejemplo, recompensará con 100.000 dólares a los investigadores que consigan eludir completamente el Gatekeeper y con un millón de dólares a aquellos que logren un acceso amplio y no autorizado a iCloud, ya que, hasta ahora, no se ha encontrado ningún exploit relacionado.
Por otra parte, la compañía ha detallado que ha extendido sus categorías de recompensas para cubrir "más áreas de ataque". Estas áreas incluyen el entorno sandbox de WebKit, donde otorgarán 200.000 dólares a quienes escapen con un solo clic. También se ha extendido a la proximidad inalámbrica por cualquier radio, a quienes recompensarán con hasta un millón de dólares.
Finalmente, Apple ha presentado Target Flags, que se basan en un nuevo formato con el que los investigadores podrán "demostrar objetivamente" la explotabilidad de algunas de sus principales categorías de recompensas. Por ejemplo, la ejecución remota de código y las omisiones de Transparencia, Consentimiento y Control (TCC).
Además, al utilizar este nuevo formato los investigadores podrán obtener recompensas aceleradas, "incluso antes de que haya una solución disponible".
Con todo ello, la compañía ha detallado que estas actualizaciones en las recompensas entrarán en vigor el próximo mes de noviembre de este año, cuando se publicará la lista completa de categorías nuevas y las recompensas ampliadas.
