Después de anunciar su programa de recompensas de errores en la conferencia de seguridad de Black Hat en agosto pasado, Apple ha abierto oficialmente su programa a todos los investigadores de seguridad.
Antes de hoy, el programa de corrección de errores del fabricante del iPhone se basaba en invitaciones y solo los investigadores de seguridad seleccionados podían participar en el programa para encontrar vulnerabilidades en iOS.
Ahora Apple ha ampliado su programa al aumentar su recompensa máxima de error de € 200,000 a € 1.5 millones y la compañía también aceptará informes de vulnerabilidad para iPadOS, macOS, tvOS, watchOS e iCloud además de iOS.
Reglas de recompensa de errores y recompensas
Apple también ha publicado una nueva página en su sitio web que explica las reglas del programa de recompensas de errores, así como un desglose de las recompensas que los investigadores pueden obtener al enviar informes sobre exploits que han descubierto.
Para ser elegible para un premio premium de errores, los investigadores deben ser los primeros en informar el problema a la seguridad de los productos de Apple, proporcionar un informe claro con un exploit funcional y no revelar el problema públicamente hasta Apple solo publica el aviso de seguridad para el informe.
Para obtener la mayor recompensa que el programa puede ofrecer, tendrán que encontrar nuevos errores de seguridad, afectar múltiples plataformas, trabajar en el último hardware y software e impactar componentes sensibles. Encontrar vulnerabilidades en beta pagará aún más a los investigadores, ya que Apple agregará un bono del 50% además del pago regular por todos los errores reportados en una beta.
Además, la compañía pagará una bonificación del 50% por los errores de regresión, que anteriormente se solucionaron en versiones anteriores de su software que se reintrodujeron accidentalmente en su código en una etapa posterior. Las vulnerabilidades que pueden conducir a ataques con un solo clic o con un solo clic también ganarán los mejores premios para los investigadores, pero deberán presentar una cadena completa de exploits para reclamar su recompensa.
A través de ZDNet