Il colosso tecnologico Apple ha deciso di lanciare un programma di bug bounty, ovvero di caccia alle falle di sicurezza nei propri software, un sistema già in uso da molti altri titani della tecnologia, come Google e Mozilla e che consente di scoprire le vulnerabilità nei software grazie al contributo dei ricercatori di sicurezza e appassionati di tutto il mondo, un aiuto ovviamente e lautamente ricompensato dalle società.
A dare l’annuncio della novità è stato Ivan Krstic, capo della sicurezza software dell’azienda, nel corso del Black Hat. Il programma comincerà a settembre ed avrà un tetto piuttosto alto, fino a 200mila dollari di ricompensa per chi scova i problemi più gravi nelle parti del firmware per l’avvio sicuro, la prima linea di difesa dei dispositivi.
Premi fino a 100mila dollari per coloro che scoveranno vulnerabilità che riguardano l’estrazione di materiale confidenziale protetto dal Secure Enclave Processor mentre fino a 50mila dollari saranno destinati agli scopritori di falle che consentono l’esecuzione di codice arbitrario con privilegi kernel o per chi riuscirà accedere ai dati degli account iCloud. Infine, l’azienda di Cupertino ha stanziato ricompense di un massimo di 25mila dollari per coloro che scopriranno bug che favoriscano l’accesso da un processo in una sandbox ai dati utente fuori dalla medesima.
Inizialmente il programma sarà accessibile solo su invito, con alcune dozzine di ricercatori che saranno contattati direttamente da Apple, la quale prevede di ampliare il programma in un secondo momento, al fine di garantire la presenza dei ricercatori più validi fin da subito.