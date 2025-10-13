Apple ha anunciado una «evolución importante» de su programa Security Bounty (recompensas de seguridad), que entrará en vigor el próximo mes.
El programa se lanzó en 2020 y, según Apple, ha otorgado más de 35 millones de dólares a más de 800 investigadores de seguridad, con múltiples informes individuales que obtienen recompensas de 500.000 dólares. Esto es lo que implica la «gran evolución» del programa, según el gigante tecnológico:
- Estamos duplicando nuestro premio superior a 2 millones de dólares por cadenas de explotación que pueden lograr objetivos similares a los sofisticados ataques de software espía mercenario. Esta es una cantidad sin precedentes en la industria y el mayor pago ofrecido por cualquier programa de recompensas que conozcamos, y nuestro sistema de bonificación, que proporciona recompensas adicionales por desviaciones del modo de bloqueo y vulnerabilidades descubiertas en el software beta, puede más que duplicar esta recompensa, con un pago máximo de más de 5 millones de dólares. También estamos duplicando o aumentando significativamente las recompensas en muchas otras categorías para fomentar una investigación más intensiva. Esto incluye 100.000 dólares por una derivación completa de Gatekeeper y 1 millón de dólares por un amplio acceso no autorizado a iCloud, ya que hasta la fecha no se ha demostrado ningún exploit exitoso en ninguna de las dos categorías.
- Nuestras categorías de recompensas se están ampliando para cubrir aún más superficies de ataque. En particular, estamos recompensando los escapes del «sandbox» de WebKit con un solo clic con hasta 300.000 dólares, y los exploits de proximidad inalámbrica sobre cualquier radio con hasta 1 millón de dólares.
- Estamos introduciendo Target Flags, una nueva forma para que los investigadores demuestren objetivamente la explotabilidad de algunas de nuestras principales categorías de recompensas, incluida la ejecución remota de código y los bypasss de Transparencia, Consentimiento y Control (TCC), y para ayudar a determinar la elegibilidad para un premio específico. Los investigadores que envíen informes con Target Flags calificarán para premios acelerados, que se procesan inmediatamente después de recibir y verificar la investigación, incluso antes de que una solución esté disponible.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.