Tom's Hardware Italia Tom's Hardware
Sicurezza

Apple: soldi a chi trova vulnerabilità nei suoi software

Anche Apple, seppur tardivamente, ha deciso di avviare un programma di bug bounty, ossia di caccia al bug. Un programma che Mozilla, Google e molte altre aziende hanno da tempo e che permette – spesso e volentieri – di scoprire gravi problemi e vulnerabilità nei software grazie all'aiuto dei ricercatori di sicurezza e appassionati del tema di tutto il mondo. Le aziende, ovviamente, ricompensano i ricercatori per il lavoro svolto.

La scelta di Apple è stata annunciata dal capo della sicurezza software dell'azienda, Ivan Krstic, durante il Black Hat. Il programma prenderà il via a settembre e, forse per scusarsi del ritardo, avrà un tetto molto altro: fino a 200mila dollari di ricompensa per chi scopre i problemi più gravi, quelle nelle parti del firmware per l'avvio sicuro, la prima linea di difesa dei dispositivi.

apple ios falla

L'apertura al mondo dei ricercatori di sicurezza con un programma regolamentato segue il noto scontro con l'FBI sullo sblocco dell'iPhone dei terroristi di San Bernardino, che si è risolto con l'intervento di una terza parte che ha sfruttato una vulnerabilità per aggirare i sistemi di sicurezza e accedere ai dati codificati. Allo stesso tempo è un'ammissione che i prodotti Apple, sempre più diffusi, sono ormai target di cracker (gli hacker cattivi) e malintenzionati, facendo venire meno la proverbiale (e falsa) invulnerabilità delle soluzioni della Mela.

Apple porge quindi la mano – e il portafogli – alla comunità dei ricercatori, sperando di rafforzare i propri software. L'azienda negli ultimi mesi ha fatto una campagna feroce sul tema della sicurezza, rimarcando la differenza tra lei e i concorrenti – Google in particolare – nella protezione e nel trattamento delle informazioni dei propri clienti.

"Abbiamo avuto un grande aiuto da ricercatori come voi nel migliorare la sicurezza di iOS" ha dichiarato Krstic davanti alla folla del Black Hat. "Il feedback ricevuto sia dal mio team che direttamente dai ricercatori è che sta diventando sempre più difficile trovare alcune di queste vulnerabilità di sicurezza più critiche. Per questo l'Apple Security Bounty Program andrà a ricompensare i ricercatori che condivideranno le vulnerabilità critiche con noi".

apple iphone

Oltre alla ricompensa massima di 200mila dollari, Apple pagherà fino a 100mila dollari a chi troverà vulnerabilità che riguardano l'estrazione di materiale confidenziale protetto dal Secure Enclave Processor. L'azienda sborserà fino a 50mila dollari per falle che consentono l'esecuzione di codice arbitrario con privilegi kernel e lo stesso sarà fatto per chi troverà modo di accedere ai dati degli account iCloud. Per concludere Apple ricompenserà con un massimo di 25mila dollari chi scoverà falle che favoriscano l'accesso da un processo in una sandbox ai dati utente fuori da quella sandbox.

Come detto, il programma prenderà il via a settembre, ma inizialmente sarà solo su invito, con alcune dozzine di ricercatori che saranno contattati dall'azienda. Apple prevede di ampliare il programma in seguito. La scelta di procedere con gli inviti è dettata dalla volontà di assicurarsi che partecipino al programma solo i ricercatori più validi e per garantire loro il giusto supporto.