Alla Black Hat Conference, evento a tema tech security che si tiene con cadenza annuale a Las Vegas, il responsabile Apple per la sicurezza Ivan Krstic ha presentato l’Apple Bug Bounty Program: l’azienda californiana pagherà cifre fino a 200.000 Dollari per chi troverà e comunicherà ai responsabili bugs presenti nei sistemi iOS.
Non si tratta certo di una novità in senso assoluto, in quanto programmi di questo tipo sono già portati avanti da Google e Microsoft, per incoraggiare gli utenti a prendere parte attiva nel miglioramento dei softwares che usano tutti i giorni. Apple, finora, non aveva però mai mostrato segni di interesse verso questa soluzione.
Rich Mogull, CEO di Securosis commenta così questo annuncio: “Apple ha sempre avuto un rapporto storicamente non idilliaco con i ricercatori, ma nel corso degli ultimi dieci anni è migliorato progressivamente fino a diventare positivo. Il Bug Bounty Program è un altro passo nella giusta direzione”.
At #BlackHat2016, Apple just announced a new Security Bounty program and has promised to prioritize pushing updates. pic.twitter.com/1jXW1tNMrb
— Jay Freeman (saurik) (@saurik) August 4, 2016
L’annuncio di Krstic è parte del continuo lavoro intrapreso nella gestione Cook per far cadere quelle barriere che impedivano a sviluppatori e ricercatori di avere informazioni sul sistema di sicurezza dei software Apple e di aprire le porte al contributo di hackers, ricercatori e crittografi.
Il premio di 200.000$ andrà, ovviamente, solo a coloro che troveranno bug nel bootloader del firmware, mentre per difetti meno gravi i compensi scaleranno progressivamente. Per garantirsi la ricompensa, il “cacciatore di bug” dovrà rappresentarlo su un normale dispositivo Apple con l’ultima versione di iOS installata. Il premio, infine, potrà variare in base a molti fattori: la chiarezza della vulnerabilità riportata, la probabilità di esposizione dell’utilizzatore e il grado di interazione necessario a scoprire il bug.
Apple incoraggerà a donare i proventi in beneficenza, e nel caso ciò avvenga parteciperà con un importo pari alla somma donata.
Tutto questo prenderà avvio a settembre, con un programma ristretto a poche decine di sviluppatori, ma il colosso di Cupertino punta a renderlo più aperto mano a mano che crescerà.
Fonte: ARightWorld
