Apple ha cerrado el Black Hat 2016 con el anuncio de que iniciará su propio programa de recompensas por el descubrimiento de vulnerabilidades en sus productos. Apple, de esta manera se une al resto de grandes empresas del sector que ya llevan tiempo recompensando este tipo de actividad que redunda en beneficio del usuario final al mejorar enormemente la seguridad de sus productos.

apple cash

Ivan Krstic, Head of security engineering and architecture de Apple, anunció formalmente la creación del programa de recompensas (bug bounty), con recompensas que pueden llegar a los $200.000 por cinco tipos de vulnerabilidades en iOS y iCloud, convirtiéndose esta recompensa en la más alta ofrecida públicamente por este tipo de trabajos. El programa inicialmente estará cerrado a 24 investigadores.

Las categorías vendrían a ser las siguientes:

  • $200.000 - Para vulnerabilidades y códigos PoC en el firmware secure boot.
  • $100.000 - Para extracciones de datos confidenciales del Secure Enclave Processor de iOS
  • $50.000 - Para fallos en la ejecución de código que permitan privilegios a nivel de kernel o permitan acceso a cuentas de iCloud
  • $25.000 - Para vulnerabilidades que permita a un proceso salir del modo sandbox

Como comentábamos antes el resto de grandes empresas del sector disponen de sus propios programas de recompensas (Google, Microsoft, Facebook, Twitter...) lo cual ha propiciado la aparición por otra parte de plataformas de intermediación como pueden ser HackerOne o Bug Crowd entre una comunidad cada vez más profesionalizada de investigadores de seguridad y estas grandes empresas.

Fuente 9to5mac