Nel corso della Black Hat, una conferenza dedicata alla sicurezza, Apple ha annunciato l’intenzione di istituire il suo primo programma di ricompense per la caccia ai bug, una serie di “taglia” da offrire a chi sarà in grado di individuare vulnerabilità no note sul versante hardware e software.
L’iniziativa partirà a settembre, consentendo di incentivare esperti in sicurezza a scovare vulnerabilità e ricevere in cambio premi in denaro per quanto eventualmente scoperto. Simili iniziative nel settore non sono nuove e anche Google e Facebook, ad esempio, hanno programmi del genere.
Nella presentazione di Apple si apprende che le taglie hanno come obiettivo innalzare la sicurezza, con premi di 200.000$ per la scoperta di vulnerabilità che riguardano il secure boot del firmware, 100.000$ per la dimostrazione della possibilità di estrarre informazioni riservate dal Secure Enclave (il coprocessore che sfrutta un processo di avvio sicuro garantendo che il software separato sia verificato e firmato da Apple).
Cinquantamila dollari andranno a chi sarà in grado di dimostrare la possibilità di eseguire codice arbitrario con privilegi di kernel, 50.000$ per l’accesso non autorizzato a dati su account iCloud sui server Apple e 25.000$ per chi sarà in grado di dimostrare la possibilità di scavalcare la sandbox (il meccanismo che impedisce alle app di raccogliere o modificare le informazioni archiviate da altre app).
Il meccanismo di ricompensa offre un ulteriore incentivo: se gli esperti di sicurezza decideranno di offrire la ricompensa in beneficenza, Apple raddoppierà la cifra offerta per ogni vulnerabilità individuata.
Al momento l’iniziativa sembra essere riservata a ricercatori che riceveranno l’invito o a gruppi ristretti di ricercatori; non è dato sapere come eventualmente candidarsi per partecipare. Probabilmente Apple ha intenzione di stabilire delle “taglie” anche per altre categorie e aprirà in seguito il programma anche a terzi, come già fatto in passato (ad esempio con il beta testing di OS X).
