Apple finalmente amplía su programa de recompensas de errores para aceptar errores de MacOS

Aranzulla de Los Pobres

El programa de recompensas de errores de 3 años de Apple finalmente se ha expandido oficialmente para aceptar envíos de errores de otras plataformas del ecosistema de Apple, incluida MacOS . La compañía de tecnología anunció sus planes para la expansión hace solo unos meses, durante la conferencia de seguridad cibernética Black Hat . Apple parece haber lanzado la expansión de su programa Security Bounty el jueves 19 de diciembre a través de una nueva página web publicada en su sitio que proporciona más detalles sobre el programa actualizado.

El programa Apple Security Bounty es esencialmente un programa en el que Apple incentiva a los investigadores de seguridad a encontrar errores en los diversos sistemas operativos de Apple y los informa a la compañía a cambio de una recompensa monetaria bastante considerable. Como señala ZDNet , cuando el programa se lanzó por primera vez en 2016, solo aceptaba informes de errores para errores de iOS de ciertos investigadores que habían sido invitados a participar en el programa. Pero a partir de esta semana, el programa Security Bounty se ha expandido oficialmente para no solo aceptar errores de MacOS, sino también errores de otros sistemas operativos de Apple, y ahora permite la participación de todos los investigadores de seguridad.

La página web recientemente publicada en el sitio web de Apple proporciona detalles sobre la iteración actual del programa Security Bounty, incluidas las pautas de elegibilidad, las categorías de recompensas (y sus recompensas máximas asociadas) e instrucciones sobre cómo enviar un informe de error. Incluso hay una página separada que enumera ejemplos de pagos para diferentes tipos de errores.

Además de los errores de MacOS, el programa acepta oficialmente informes de errores para iOS, iPadOS, tvOS y WatchOS. Parece que no hay pautas específicas de MacOS para enviar informes de errores al respecto, pero en general, para ser elegible para una recompensa, los investigadores deben seguir tres pautas principales:

  1. Debe ser el primero en informar el error a Apple Product Security.
  2. Se debe presentar un informe que debe ser "claro" y contener "un exploit funcional".
  3. No puede publicitar el error hasta que "Apple publique el aviso de seguridad para el informe".

También vale la pena señalar que si el error tiene un "impacto significativo para los usuarios", Apple aún lo tendrá en cuenta para un pago de recompensa, incluso si no "se ajusta a las categorías de recompensa publicadas". Además, las recompensas en sí mismas no son pequeñas . De hecho, el ejemplo de pago más pequeño de la lista fue de $ 25,000 y el pago más grande parece ser de $ 1 millón.