Quizá nunca escuchaste hablar de Apple Security Bounty, pero posiblemente siempre supiste que Apple, como otras tantas compañías, tiene un plan de recompensas que “premia” a todo aquel que encuentre errores en sus software productos o servicios, y no hablamos de premios cualquiera, hablamos de pagos que pueden superar los USD $100.000.
La mayoría del tiempo en que ha existido el Apple Security Bounty, este funcionaba en torno a un grupo de invitados quienes tenían la posibilidad ganar dinero reportando errores en los productos y servicios de Apple, lo que a final de cuentas creaba un problema colateral que no gustaba a los de Cupertino: Los que no estaban invitados a participar hacían negocios vendiendo “detalles” a empresas o países para que tuvieran acceso no autorizado a los dispositivos Apple.
Junto al problema que existía con quienes no estaban invitados al programa de recompensa, surgió el problema de que las recompensas para los participantes no terminaban por ser tan interesantes ($) como se pensaba y abría la posibilidad de que para muchos fuera más interesante vender los detalles de vulnerabilidades a terceros, motivo por el cual Apple subió los pagos máximos para que fueran mas interesantes de perseguir en vez de hacer negocios con entidades que no fueran Apple.
Para que un problema sea aceptado en el Apple Security Bounty debe cumplir con ciertos criterios que Apple indica en un micrositio, dentro de lo que se encuentra el que el problema debe ocurrir en las últimas versiones disponibles de iOS, iPadOS, macOS, tvOS o watchOS con una configuración estándar y, cuando corresponda, en el último hardware disponible públicamente.
Si aparece un error que cumpla con los criterios de Apple para ser “elegible”, este comienza un camino que busca proteger a los clientes hasta que haya una actualización disponible y que Apple pueda actuar lo más temprano posible frente al problema y pueda ver que todo este en orden bajo los siguientes criterios:
– Ser el primero en informar el problema a Apple Product Security.
– Proporcionar un informe claro, que incluya un exploit de trabajo.
– No divulgar el problema públicamente antes de que Apple notifique el aviso de seguridad con su informe.
Si el descubrimiento de la vulnerabilidad surge en las versiones beta del desarrollador designadas y las versiones beta públicas, incluidas las regresiones, tienen una bonificación extra del 50% por sobre el pago “normal”.
Los nuevos pagos del plan de recompensas de Apple van desde los USD $100.000 a los USD $1.000.000, cambiando el monto máximo si el error pertenece a una beta que llega hasta los USD $1.500.000. Dentro del compromiso de Apple con las entidades benéficas está el que si encuentran un problema en su software y quien lo descubre recibe un pago, un pago similar a ese llegará a una organización benéfica, compromiso que los de Cupertino ya traían de antes.
Autor: Elias Villagrán Donaire.
