Apple Security Research è un nuovo sito di Apple pensato per migliorare le metodologie di segnalazione disponibili per i ricercatori specializzati in sicurezza con le quali comunicare eventuali problemi a Apple.
Il sito offre strumenti che consentono di inviare a Apple segnalazioni relative alla sicurezza, ottenere aggiornamenti in tempo reale e comunicare con gli ingegneri di Cupertino.
Sul sito – che si raggiunge da questo indirizzo– sono presenti informazioni sul programma di Bug Bounty (qualsiasi ricercatore che si occupa di sicurezza può segnalare ad Apple falle gravi nei suoi sistemi e ottenere in cambio un premio in denaro), ma anche un blog che permette agli ingegneri di Apple di condividere progressi sul versante sicurezza (il primo dei post approfondisce la sicurezza della memoria nel kernel XNU).
Nel sito vi sono riferimenti a progressi nell’Apple Security Bounty. Negli ultimi due anni e mezzo, Apple ha pagato i ricercatori assegnando circa 20 milioni di dollari, una media di 40.000$ per le varie categorie dei prodotti, pagando oltre 20 compensi di 100.000$ per la segnalazione di problematiche importanti.
Apple riferisce che ora risponde più velocemente alle segnalazioni di problematiche ed ha apportato modifiche in modo che sia più semplice segnalare problemi e comunicare con i team Apple. Qualsiasi cambiamento di stato nei report, sono visibili da un nuovo tracker disponibile sul sito in questione, elemento che rende più facile anche per Apple raccogliere informazioni sui bug.
Anche la trasparenza è stata migliorata, e il sito offre dettagli in merito ai criteri usati per i premi del programma di bounting, con i ricercatori che possono così capire meglio il potenziale guadagno per le segnalazioni inviate.
Apple aveva predisposto un programma di bug bounty nel 2016 ma questo era inizialmente ristretto a iOS ed erano previste limitazioni anche in termini di partecipanti (gruppi selezionati) solo su invito, con premi che arrivavano a un massimo di 200mila dollari, ricompensa molto inferiore rispetto a quanto corrisposto da altre società.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
