Apple ha reabierto su programa de recompensas por reportar vulnerabilidades, tras haber decidido finalmente cambiar el modelo de solo permitir investigadores selectos que la empresa había aprobado, y también ha expandido los sistemas que cubre el programa.
Es decir, ahora cualquier investigador de seguridad podrá reportar bugs no solo de iOS, sino también del resto de sistema de la familia de dispositivos de Apple: macOS, iPadOS, tvOS, watchOS, y también iCloud.
Apple inauguró su programa de recompensas en agosto de 2016, pero no ha sido sino hasta final de este 2019 que la empresa finalmente lo ha expandido de verdad.
Recompensas de hasta un millón de dólares
Las reglas del programa específican que solo serán elegibles para recompensa aquellos bugs que se encuentren en las últimas versiones públicas de iOS, iPadOS, macOS, tvOS, o watchOS con una configuración estándar.
Además, es obligatorio no desvelar públicamente el problema antes de que Apple haya liberado la correspondiente actualización para resolver el problema. Ahora, si una vulnerabilidad es desconodida por Apple y son únicas de versiones beta para desarrolladores o de betas públicas, esto puede resultar en una bonificación de pago de hasta 50%.
Las recompensas mínimas son de 25.000 dólares, pero pueden alcanzar hasta los 500.000 o el millón de dólares dependiendo de la gravedad de los fallos, Apple incluso incluye algunos consejos sobre cómo maximizar tu pago según lo que más les interesa. Puedes leer la lista detallada de ejemplos de recompensas en la web de Apple.
Todos los reportes deberán ser detallados contener un exploit funcional con suficiente información para que Apple pueda reproducir el problema. Estos deberán enviarse a product-security@apple.com de forma cifrada.
Ver 2 comentarios