Hasta ahora, solamente los que eran seleccionados por la empresa podían participar.
Apple anunció que va a hacer público su programa de recompensas que van desde los 25.000 al millón de dólares para cualquier investigador de seguridad que reporte alguna vulnerabilidad nueva que afecte a alguna de las últimas versiones de sus sistemas.
El programa Apple Security Bounty lleva activo desde el 2016 y se creó con el fin de encontrar lo antes posible cualquier vulnerabilidad para proteger a sus clientes. Anteriormente este programa solo era accesible para los investigadores selectos aprobados por la compañía, sin embargo ahora cualquier investigador podrá participar, si cumple con una serie de requisitos.
El primero de ellos es la elegibilidad. Para recibir una recompensa económica la vulnerabilidad que se reporta tiene que ocurrir en las últimas versiones disponibles de iOS, iPadOS, macOS, tvOS, watchOs de configuración estándar y cuando corresponda del último ‘hardware’ disponible, según informa LA VOZ.
Aquellos problemas que Apple desconoce y que pertenecen a versiones beta de desarrollador y públicas pueden generan un pago de bonificación del 50 por ciento. Los pagos se dividen por categorías y se determinan por el nivel de acceso al problema y la calidad del informe.
Los informes que no incluyan la explotación funcional y sólo tengan pruebas de concepto básicas solo optarán a recibir el 50 por ciento del máximo de pago. El informe debe contener una descripción detallada del problema y los pasos para llevar al sistema al estado afectado.
También debe incluir un exploit confiable para el problema y debe llevar la suficiente información para que la compañía sea capaz de reproducir esta vulnerabilidad. Hay una serie de características que, si se dan en el error reportado, se maximizará el pago.
Para ello, el problema reportado tiene que afectar a múltiples plataformas, y también vale que afecte al último software y hardware disponible públicamente si son exclusivos de funciones o códigos recien agregados en las versiones beta.
Los investigadores se tienen que comprometer a no hacer públicas ninguna de las vulnerabilidades que encuentren hasta que Apple publique el aviso de seguridad con la actualización que resuelve el problema.
