News

Apple pagherà più di 1 milione di dollari per trovare falle di sicurezza

Condividi l'articolo

Il programma ampliato, annunciato alla conferenza Black Hat, arriva mentre i governi e le aziende tecnologiche competono per le informazioni.

Apple pagherà agli hacker etici più di 1 milione di dollari se rivelano responsabilmente vulnerabilità di sicurezza pericolose all’azienda, ha annunciato la società alla conferenza sulla sicurezza Black Hat a Las Vegas.

Il nuovo “bug bounty“, in aumento rispetto a un precedente massimo di $ 200.000, potrebbe persino superare l’offerta di ciò che un ricercatore di sicurezza potrebbe guadagnare se decidesse di saltare del tutto la divulgazione e vendere il bug a uno stato nazionale o a una “società di sicurezza offensiva”. Questo è quanto affermano i dati condivisi da Maor Shwartz, un broker di vulnerabilità alla stessa conferenza.

Questo nuovo programma di bug bounty di Apple è un netto passo avanti rispetto a un’offerta precedente, che era limitata a un pool selezionato di ricercatori pre-approvati. La società lo ha anche esteso per premiare gli hacker che trovano vulnerabilità in watchOS e tvOS, nonché in iOS e macOS.

L’importo che i ricercatori riceveranno dipende dalla gravità del bug che trovano. Guadagnare $ 1 milione, ad esempio, richiede di trovare un punto debole in iOS in grado di hackerare il kernel, il livello più sicuro del sistema operativo, senza un solo clic da parte dell’utente. C’è un potenziale bonus di un altro 50% se il bug viene trovato nel software pre-release, ha detto Apple, portando potenzialmente i guadagni fino a $ 1,5 milioni per un singolo bug.

Ciò corrisponde a ciò che i ricercatori potrebbero aspettarsi di guadagnare se seguissero la strada del “cappello grigio” e vendessero la loro scoperta a governi o appaltatori che intendevano usarli per hackerare i nemici dello stato, piuttosto che risolverli, secondo Shwartz.

Leggi anche:

Il “mercato di fascia alta” per quel tipo di acquirenti include gli stessi “RCE zero-click” – esecuzione di comandi remoti – per i quali Apple offre il suo più alto pagamento. Include anche qualsiasi vulnerabilità nella crittografia utilizzata dai servizi di messaggistica, inclusi WhatsApp e iMessage, che potrebbe essere utilizzata per intercettare i messaggi in transito e decrittografarli silenziosamente.

La concorrenza tra governi e aziende tecnologiche per la conoscenza delle vulnerabilità della sicurezza è più aperta che mai. Dal punto di vista aziendale, l’aumento dei bug bounty ha assicurato che la divulgazione responsabile dei punti deboli non sia solo qualcosa che aziende come Apple, Google e Microsoft si aspettano che gli hacker facciano per la bontà dei loro cuori, ma può effettivamente aiutare coloro che li trovano a pagare fatture.

Da parte del governo, tuttavia, aziende come Zerodium hanno aperto la strada alla pratica di pubblicizzare esplicitamente che avrebbero acquistato vulnerabilità di sicurezza, con l’intento di trasmetterle a clienti governativi che le utilizzano come parte delle loro operazioni di spionaggio.

A gennaio, Zerodium ha aumentato la sua vincita massima a 2 milioni di dollari, ha annunciato la società, per qualsiasi vulnerabilità in grado di eseguire il “jailbreak” in remoto di un dispositivo iOS, consentendo installazioni di software non autorizzate, senza richiedere l’integrazione dell’utente.

Apple sta reagendo, tuttavia, rilasciando a ricercatori di sicurezza selezionati dispositivi iOS pre-jailbroken nel tentativo di aiutare i ricercatori responsabili a trovare bug prima dei loro colleghi meno etici, secondo un rapporto di Forbes di inizio mese.

Con tutto questo denaro investito per la sicurezza dei prodotti Apple, riusciranno gli hacker non tanto etici ad eseguire il jailbreak di iOS 15? La sfida è quanto mai aperta.

Fonte

Ti potrebbe interessare:
Segui guruhitech su:

Esprimi il tuo parere!

Riuscirà Apple a rendere i suoi dispositivi più sicuri e a impedire il jailbreak di iOS 15? Lascia un commento nell’apposita sezione che trovi più in basso e se ti va, iscriviti alla newsletter.

Per qualsiasi domanda, informazione o assistenza nel mondo della tecnologia, puoi inviare una email all’indirizzo guruhitech@libero.it.

+1
0
+1
1
+1
0
+1
0
+1
0
+1
1
+1
0
(Visited 24 times, 1 visits today)
0 0 votes
Article Rating

Rispondi

0 Commenti
Newest
Oldest Most Voted
Inline Feedbacks
View all comments