Apple por lo general no suele presentarse en eventos relacionados con la seguridad, pero ante los problemas que han surgido por los temas de seguridad y privacidad, presentó en el evento Black Hat un programa que busca detectar las vulnerabilidades para incrementar la seguridad.
Ivan Krsti?, director de ingeniería de seguridad y arquitectura de Apple dio a conocer al denominado “Programa de recompensas” en la conferencia llamada “Detrás de las escenas de la seguridad de iOS”, en donde habló acerca de cómo la empresa maneja la sincronización de datos de los usuarios como contraseñas, HomeKit, y el desbloqueo automático en macOS Sierra y watchOS 3, la tecnología detrás del sensor de huellas, Touch ID, WebKit y cómo se protegen de los explot de JavaScript.
Debido a que cada vez es más difícil encontrar vulnerabilidades hasta para el equipo de seguridad interna de Apple, la empresa lanza el programa para recibir ayuda para que incluso las más pequeñas sean parchadas y evitar filtraciones de bugs y así evitar ataques, ya que el proceso de detección lleva tiempo y es complejo. Por eso recompensará a los que las personas que los encuentren, por dedicar el tiempo y trabajo en esa tarea.
A partir de septiembre un grupo de investigadores lo empezarán a usar en donde se da prioridad a la calidad que a la cantidad en el uso de este programa, que poco a poco irá creciendo pero con la posibilidad abierta de agregar a mas personas si es necesario.
El programa de recompensas considera crítico los siguientes temas:
- Componentes del sistema de arranque del firmware: hasta $200,000 USD
- Extracción de material confidencial protegido por el procesador seguro enclave : $100, 000 USD.
- Ejecución de código arbitrario con privilegios kernel :$50,000 USD
- Acceso no autorizado a los datos de iCloud desde los servidores Apple: hasta $50,000 USD
- Acceso al proceso de la caja de arena para usar la información de los usuarios fuera de la misma: hasta $25,000 USD.
Por supuesto, si alguna persona detecta otra vulnerabilidad no listada, Apple se reserva el derecho de compensarlo y de darle el crédito correspondiente. Respecto a las recompensas, como suele hacer la empresa, no será entrega en efectivo sino donada a la caridad de elección del ganador, incluso si la empresa lo considera necesaria, donaría el doble.
Con información de imore