Anche Apple lancia il proprio programmi Bug bounty


Pubblicato il: 14 Agosto 2016 , Ultimo aggiornamento: 28 Aprile 2021

Sono ormai numerose le iniziative, da parte di aziende di informatica e proprietari di siti web, che offrono una ricompensa monetaria a chi sia in grado di segnalare bug gravi su app e siti web aziendali.L’importanza della sicurezza informatica per aziende così grosse, infatti, è diventata ormai all’ordine del giorno: all’uscita di iOS 9, ad esempio, è uscita fuori una falla (non pubblicamente disponibile) che, a quanto pare, il governo americano avrebbe acquistato per sbloccare l’iPhone di uno degli attentatori di San Bernardino.

Apple ha quindi puntato molto sulla prevenzione, e dopo molti altri (tra cui Pornhub) ha lanciato da qualche giorno un proprio bug bounty program: si offrono fino a 200 mila dollari a chiunque scopra falle di sicurezza nell’ultima versione di iOS. L’annuncio è stato fatto durante la conferenza Black Hat USA del 4 agosto di quest’anno da Ivan Krstić, direttore del Security Engineering and Architecture. Per politica aziendale Apple normalmente non discute pubblicamente, nè conferma o smentisce, problematiche di sicurezza sui propri sistemi, almeno fin quando non venga fatta un’analisi approfondita e non siano applicate eventuali patch.

Apple in questo caso offre:

SMSHosting Codice PROMO: PRT96919 Servizio di SMS Marketing - Per inviare SMS promozionali a basso costo Scopri il servizio
  • fino a 25 mila dollari per eventuali violazio del sandbox del sistema operativo (un meccanismo di protezione, presente anche in altri sistemi operativi, finalizzato a limitare accessi impropri delle app ad aree riservate del sistema);
  • fino a 50 mila dollari per casi di esecuzione arbitraria di codice, o accessi non autorizzati ad iCloud (circostanza che sembrerebbe già avvenuta in un caso di qualche anno fa, noto giornalisticamente come fappening);
  • fino a 100 mila dollari per casi di violazione del Secure Enclave Processor, un tipo di co-processore presente nei modelli iPhone 5s, iPad Air, iPad Mini con Display Retina e iPad Mini, che prevede un meccanismo crittografico per la memoria e nella trasmissione di dati. Esso limita la possibilità di violazioni e fughe di informazioni riservate degli utenti.
  • fino a 200 mila dollari, infine, sono offerti per chi riesca a trovare errori critici di sicurezza all’interno delle componenti firmware.

Le segnalazioni possono avvenire soltanto su invito, almeno per il momento, e saranno progressivamente estese al pubblico: è la prima volta in assoluto, peraltro, che Apple fa una cosa del genere.

Le intenzioni e la strategia generale sono certamente buone, se non fosse per alcuni possibili effetti collaterali, tra cui il fatto che queste iniziative possono produrre numerose segnalazioni di poco conto, spinte da informatica a cui interessa esclusivamente guadagnare qualcosa senza badare alla qualità, che comunque vanno verificate o indagate, occupando così tempo e denaro della Apple. Inoltre i bug bounty program sembrano essere ormai al centro di un vero e proprio mercato, come dimostra la Exodus Intelligence, azienda di sicurezza informatica che ha lanciato – quasi contemporaneamente – un programma concorrente, sempre sul sistema operativo iOS, offrendo fino a 500 mila dollari. Lo scopo è chiaramente quello di spingere i ricercatori a segnalare a loro i bug, speculando così sul costo ed eventualmente provando a rivendere a loro volta la falla.

(fonte)

SMSHosting Codice PROMO: PRT96919 Servizio di SMS Marketing - Per inviare SMS promozionali a basso costo Scopri il servizio

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Anche Apple lancia il proprio programmi Bug bounty di Salvatore Capolupo su Trovalost.it
Anche Apple lancia il proprio programmi Bug bounty (News)

Articoli più letti su questi argomenti: