Publicado em

Apple vai pagar até US$ 1 milhão para quem demonstrar falha de segurança em produtos

Programa recompensa pesquisadores independentes que relatam erros de programação.

A Apple anunciou uma expansão do seu programa de "Bug Bounty", que paga recompensas a pesquisadores que descobrem falhas de segurança em seus produtos. Os prêmios, antes reservados para apenas alguns especialistas participantes, agora estão disponíveis para qualquer interessado e podem chegar a US$ 1 milhão (cerca de R$ 3,9 milhões).

O Google e a Microsoft, concorrentes da Apple, também possuem programas semelhantes. Nesse grupo de empresas, a fabricante do iPhone é a última a abrir seu programa de recompensas a qualquer pesquisador interessado. O novo valor oferecido pela Apple, no entanto, tem o potencial de estabelecer recordes para pagamentos desse tipo.

Os produtos contemplados pela oferta também aumentaram. Antes, a Apple pagava apenas por informações sobre vulnerabilidades no iOS, o sistema operacional usado no iPhone. De agora em diante, brechas no iCloud e em qualquer sistema operacional desenvolvido pela companhia — iPadOS, macOS, tvOS e watchOS — também podem render pagamentos.

O prêmio mais alto, de US$ 1 milhão, é reservado para quem demonstrar um ataque completo para invadir o sistema remotamente, encadeando todas as vulnerabilidades que forem necessárias. A companhia também vai oferecer um bônus de até 50% para falhas apontadas em versões de testes do sistema, evitando que esses problemas cheguem aos dispositivos em uso pelos consumidores.

Para descobrir uma falha de segurança, um pesquisador precisa analisar o funcionamento dos componentes do sistema e como eles interagem com os aplicativos. Um erro de programação em alguma dessas funções pode possibilitar que um aplicativo viole permissões de acesso para obter dados sem autorização ou adulterar o próprio sistema.

Dispositivos especiais

A Apple pretende distribuir iPhones especiais para a pesquisa de segurança. Esses dispositivos serão preparados especialmente para os especialistas da área e estarão disponíveis a partir do ano que vem.

Para participar, o especialista terá de demonstrar interesse e apresentar um histórico de pesquisas de "alta qualidade" em qualquer plataforma. Ou seja, o programa deve ser aberto também para pesquisadores independentes que já encontraram falhas no Windows ou no Android.

Uma versão semelhante desses aparelhados, apelidados de "dev-fused", já apareceram no mercado paralelo, possivelmente após terem sido extraviados de alguma fábrica. Eles não possuem algumas das restrições de segurança do iPhone comum, permitindo que os especialistas tenham mais flexibilidade para estudar o funcionamento do hardware e do software.