Anche Apple lancia il proprio programmi Bug bounty

Aggiornato il: 28-04-2021 23:53
Sono ormai numerose le iniziative, da parte di aziende di informatica e proprietari di siti web, che offrono una ricompensa monetaria a chi sia in grado di segnalare bug gravi su app e siti web aziendali.L’importanza della sicurezza informatica per aziende cosଠgrosse, infatti, è diventata ormai all’ordine del giorno: all’uscita di iOS 9, ad esempio, è uscita fuori una falla (non pubblicamente disponibile) che, a quanto pare, il governo americano avrebbe acquistato per sbloccare l’iPhone di uno degli attentatori di San Bernardino.

Apple ha quindi puntato molto sulla prevenzione, e dopo molti altri (tra cui Pornhub) ha lanciato da qualche giorno un proprio bug bounty program: si offrono fino a 200 mila dollari a chiunque scopra falle di sicurezza nell’ultima versione di iOS. L’annuncio è stato fatto durante la conferenza Black Hat USA del 4 agosto di quest’anno da Ivan Krstić, direttore del Security Engineering and Architecture. Per politica aziendale Apple normalmente non discute pubblicamente, nè conferma o smentisce, problematiche di sicurezza sui propri sistemi, almeno fin quando non venga fatta un’analisi approfondita e non siano applicate eventuali patch.

Apple in questo caso offre:

  • fino a 25 mila dollari per eventuali violazio del sandbox del sistema operativo (un meccanismo di protezione, presente anche in altri sistemi operativi, finalizzato a limitare accessi impropri delle app ad aree riservate del sistema);
  • fino a 50 mila dollari per casi di esecuzione arbitraria di codice, o accessi non autorizzati ad iCloud (circostanza che sembrerebbe già  avvenuta in un caso di qualche anno fa, noto giornalisticamente come fappening);
  • fino a 100 mila dollari per casi di violazione del Secure Enclave Processor, un tipo di co-processore presente nei modelli iPhone 5s, iPad Air, iPad Mini con Display Retina e iPad Mini, che prevede un meccanismo crittografico per la memoria e nella trasmissione di dati. Esso limita la possibilità  di violazioni e fughe di informazioni riservate degli utenti.
  • fino a 200 mila dollari, infine, sono offerti per chi riesca a trovare errori critici di sicurezza all’interno delle componenti firmware.

Le segnalazioni possono avvenire soltanto su invito, almeno per il momento, e saranno progressivamente estese al pubblico: è la prima volta in assoluto, peraltro, che Apple fa una cosa del genere.

Le intenzioni e la strategia generale sono certamente buone, se non fosse per alcuni possibili effetti collaterali, tra cui il fatto che queste iniziative possono produrre numerose segnalazioni di poco conto, spinte da informatica a cui interessa esclusivamente guadagnare qualcosa senza badare alla qualità , che comunque vanno verificate o indagate, occupando cosଠtempo e denaro della Apple. Inoltre i bug bounty program sembrano essere ormai al centro di un vero e proprio mercato, come dimostra la Exodus Intelligence, azienda di sicurezza informatica che ha lanciato – quasi contemporaneamente – un programma concorrente, sempre sul sistema operativo iOS, offrendo fino a 500 mila dollari. Lo scopo è chiaramente quello di spingere i ricercatori a segnalare a loro i bug, speculando cosଠsul costo ed eventualmente provando a rivendere a loro volta la falla.

(fonte)



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti piace questo articolo? Vota e fammelo sapere.

Anche Apple lancia il proprio programmi Bug bounty
Keliweb : il servizio di hosting italiano
ed3cb10b2ff01c3e81584d04ee44408be273e5d418b6104696f8 640 apple
Torna su