Apple infine espande il suo programma di ricompensa dei bug per accettare i bug di MacOS

Il programma di bug bounty di 3 anni di Apple si è finalmente esteso ufficialmente per accettare la presentazione di bug da altre piattaforme ecosistemiche Apple, incluso MacOS . La società tecnologica ha annunciato i suoi piani per l'espansione solo pochi mesi fa, durante la conferenza sulla sicurezza informatica di Black Hat . Apple sembra aver lanciato l'espansione del suo programma Security Bounty giovedì 19 dicembre , tramite una nuova pagina Web pubblicata sul suo sito che fornisce ulteriori dettagli sul programma aggiornato.

Il programma Apple Security Bounty è essenzialmente un programma in cui Apple incentiva i ricercatori di sicurezza a trovare bug nei vari sistemi operativi di Apple e segnalarli alla società in cambio di una ricompensa monetaria piuttosto considerevole. Come osserva ZDNet , quando il programma è stato lanciato per la prima volta nel 2016, ha accettato solo segnalazioni di bug per bug iOS da parte di alcuni ricercatori che erano stati invitati a partecipare al programma. Ma a partire da questa settimana, il programma Security Bounty si è ufficialmente ampliato per accettare non solo i bug di MacOS, ma anche i bug di altri sistemi operativi Apple e ora consente la partecipazione di tutti i ricercatori di sicurezza.

La pagina Web appena pubblicata sul sito Web di Apple fornisce dettagli sull'iterazione corrente del programma Security Bounty, comprese le linee guida sull'idoneità, le categorie di premi (e i relativi premi massimi associati) e le istruzioni su come inviare una segnalazione di bug. C'è anche una pagina separata che elenca esempi di pagamenti per diversi tipi di bug.

Oltre ai bug di MacOS, il programma accetta ufficialmente segnalazioni di bug per iOS, iPadOS, tvOS e WatchOS. Non sembrano esserci linee guida specifiche per MacOS per l'invio di segnalazioni di bug al riguardo, ma in generale, al fine di poter beneficiare di un premio, i ricercatori devono seguire tre linee guida principali:

1. Devi essere il primo a segnalare il bug alla sicurezza dei prodotti Apple.
2. Un rapporto deve essere presentato e dovrebbe essere "chiaro" e contenere "un exploit funzionante".
3. Non puoi pubblicizzare il bug fino a quando "Apple non rilascia l'avviso di sicurezza per il rapporto".

Vale anche la pena notare che se il bug ha "un impatto significativo per gli utenti", Apple lo terrà comunque in considerazione per un pagamento di bounty anche se non "si adatta alle categorie di bounty pubblicate". Inoltre, le taglie stesse non sono minuscole . In effetti, il pagamento di esempio più piccolo elencato era $ 25.000 e il pagamento più grande sembra essere $ 1 milione.

• Apple ti pagherà $ 1 milione per trovare un bug iPhone molto specifico
• Bug FaceTime: Apple implementa una correzione per abilitare nuovamente le chiamate di gruppo
• La vulnerabilità critica di MacOS Mojave ignora la sicurezza del sistema