Desde o lançamento do seu programa de recompensas por bugs há quase uma década, a Apple sempre destacou os valores máximos notáveis de pagamento – $200,000 em 2016 e $1 milhão em 2019. Agora, a empresa está aumentando ainda mais o valor. Durante a conferência de segurança ofensiva Hexacon em Paris na sexta-feira, o vice-presidente de engenharia de segurança e arquitetura da Apple, Ivan Krstić, anunciou um novo valor máximo de pagamento de $2 milhões por uma cadeia de exploits de software que poderiam ser utilizados para spyware.
A mudança reflete o quão valiosas as vulnerabilidades exploráveis podem ser dentro do altamente protegido ambiente móvel da Apple – e os esforços que a empresa fará para evitar que essas descobertas caiam em mãos erradas. Além dos pagamentos individuais, o programa de recompensas por bugs da empresa também inclui uma estrutura de bônus, adicionando prêmios adicionais para exploits que conseguirem contornar seu Modo de Bloqueio extra seguro, bem como aqueles descobertos enquanto o software da Apple ainda está na fase de teste beta. Juntos, o prêmio máximo para o que seria, de outra forma, um exploit em cadeia potencialmente catastrófico, agora será de $5 milhões. As mudanças entram em vigor no próximo mês.
“A ferramenta diz que existem mais de 2,35 bilhões de dispositivos ativos da empresa ao redor do mundo. O programa de recompensas por bugs da Apple era originalmente um programa apenas por convite para pesquisadores proeminentes, mas desde que foi aberto ao público em 2020, a Apple afirma ter concedido mais de $35 milhões a mais de 800 pesquisadores de segurança. Os pagamentos mais altos são muito raros, mas Krstić diz que a empresa fez múltiplos pagamentos de $500,000 nos últimos anos.
Além das recompensas potenciais mais altas, a Apple está expandindo as categorias do programa de recompensas por bugs para incluir certos tipos de exploits da infraestrutura do navegador WebKit com um clique, bem como exploits de proximidade sem fio realizados com qualquer tipo de rádio. E há até uma nova oferta chamada “Target Flags” que coloca o conceito de competições de hacking “capture the flag” em testes do mundo real do software da Apple para ajudar os pesquisadores a demonstrarem rapidamente e de forma definitiva as capacidades de seus exploits.
O programa de recompensas por bugs da Apple é apenas um dos muitos investimentos de longo prazo destinados a reduzir a prevalência de vulnerabilidades perigosas ou bloquear sua exploração. Por exemplo, após mais de cinco anos de trabalho, a empresa anunciou uma proteção de segurança no novo iPhone 17 que visa anular a classe de bugs do iOS mais frequentemente explorados. Conhecido como Memory Integrity Enforcement, o recurso é uma grande aposta para proteger uma pequena minoria dos grupos mais vulneráveis e altamente visados ao redor do mundo – incluindo ativistas, jornalistas e políticos – enquanto adiciona defesa para todos os usuários de novos dispositivos. Nesse sentido, a empresa anunciou na sexta-feira que doará mil iPhone 17 para grupos de direitos que trabalham com pessoas em risco de sofrerem ataques digitais direcionados.
“É possível dizer que parece um grande esforço para proteger apenas esse número muito pequeno de usuários que são alvo de mercenários de spyware, mas há esse histórico incontestável descrito por jornalistas, empresas de tecnologia e organizações da sociedade civil de que essas tecnologias estão constantemente sendo abusadas”, diz Krstić. “E sentimos uma grande obrigação moral de defender esses usuários. Apesar do fato de que a grande maioria dos nossos usuários nunca será alvo de algo assim, esse trabalho que fizemos acabará aumentando a proteção para todos”.
