Apple Apple llança el programa Bug Bounty a Black Hat USA 2016

Apple té finalment un programa de recompenses d'errors.

El cap d’enginyeria i arquitectura de seguretat de l’empresa, Ivan Krstic, va anunciar el programa només per a convidar durant una rara aparició pública a la convenció de hacker de Black Hat USA 2016 a Las Vegas la nit del 4 d’agost.

Krstic, l'equip de la qual gestiona la seguretat final de tots els productes d'Apple, va dir que la companyia pagarà fins a 200.000 dòlars per errors detectats durant la seva presentació el dijous anomenat "Darrere de les escenes de seguretat de iOS".

La compensació depèn de la pirateria informàtica: l'accés a les dades de l'aplicació de la caixa de sorra val fins a 25.000 dòlars, tot i que compromet els components de microprogramari d’arrencada segurs i pot arribar a ser el màxim de $ 200.000.

El recompensament dels hackers per divulgar vulnerabilitats de seguretat en comptes d’explotar-les secretament s’ha tornat cada vegada més habitual: tots, des d’Uber fins al Pentàgon, ho fan.

El canvi d’Apple de comptar amb la voluntat d’investigadors d’oferir una recompensa per obtenir divulgacions d’errors és probable que sigui motivat pel piratatge d’un iPhone 5c connectat al tir de San Bernardino de 2015. El públic no sap molt sobre el trencaclosques i si encara es pot utilitzar per trencar en un iPhone.

Robert McCarthy, assistent de Black Hat:

Públic: "Quant influeix la vostra qüestió sobre el FBI?"

Ivan Krstic: "Aquí sóc un enginyer per respondre a preguntes tècniques"

Fins i tot l'FBI, que va pagar a un tercer encara desconegut per piratejar l'iPhone quan Apple es va negar a ajudar en el cas, no sap com es va veure compromesa el dispositiu. Potser ni tan sols sàpiga quant costarà el hack, ja que l’afirmació del director del FBI, James Comey, que va costar al voltant de 1,3 milions de dòlars, va ser refutada per informes posteriors que van afirmar que realment costaven menys d’un milió de dòlars.

Aquesta ambigüitat és encara més preocupant perquè l’FBI no ha trobat res al dispositiu. Això vol dir que una de les principals agències policials del món va donar una quantitat de diners desconeguda a una empresa desconeguda per realitzar un hack desconegut, demostrant així que es podria fer i que tothom amb un iPhone 5c estigui en risc, sense obtenir res a canvi.

Un programa de recompenses d'errors podria permetre a Apple eliminar algunes d'aquestes variables i fer els seus productes més segurs. No obstant això, és estrany que el programa comenci amb algunes dotzenes d’investigadors i s’expandeixi només per invitació. El punt d’un programa de recompenses d’errors sol ser aconseguir que tantes persones puguin moure diverses funcions de seguretat per veure el que poden treballar.

Segons informes, Apple planeja convidar més persones al programa i passar "a convidar" a qualsevol que denunciï una vulnerabilitat greu a través d'altres canals, però de moment sembla que Apple només està submergint els dits dels peus en el bounty pool. Aquesta és la característica de la companyia, que sovint és prudent, però probablement serà descoratjador per a qualsevol que vulgui competir tan aviat com sigui possible.

Tot i així, això és un progrés inequívoc per a Apple. També va aparèixer en un esdeveniment com Black Hat USA, en primer lloc. Combinat amb altres canvis, com ara la decisió de no xifrar el nucli de iOS 10, sembla que l’herència de l’episodi de San Bernardino podria ser un Apple que vol deixar les ombres perquè pugui mantenir les moltes persones que utilitzen els seus productes una mica més segures.