A Apple acaba de aumentar os valores pagos no seu programa de recompensas por falhas de segurança (Bug Bounty), que paga a quem encontrar e reportar vulnerabilidades em softwares da empresa.
Lançado em 2020, o Apple Security Bounty já distribuiu mais de US$ 35 milhões para mais de 800 pesquisadores de segurança, com uma média de US$ 43.750 por participante.
Agora, a empresa está subindo o nível e tornando o programa ainda mais vantajoso para quem descobrir vulnerabilidades em seus sistemas. Em uma publicação no blog oficial, a Apple explicou as mudanças que marcam uma nova fase do programa.
A principal novidade é o dobro do valor máximo de recompensa, que agora pode chegar a US$ 2 milhões para quem encontrar cadeias de exploração capazes de atingir objetivos semelhantes aos de ataques de spyware mercenário sofisticado.
Além disso, o programa passou a oferecer bônus adicionais para quem descobrir formas de burlar o Modo Isolamento (Lockdown Mode) — uma função criada para proteger usuários contra ataques avançados — e também falhas em softwares em fase beta. Com esses bônus, a recompensa total pode atingir US$ 5 milhões.
Outra atualização importante é a nova categoria de US$ 100 mil para quem encontrar uma forma completa de burlar o Gatekeeper, recurso de segurança do macOS que impede que códigos maliciosos sejam executados sem autorização. Já para quem identificar acessos não autorizados amplos ao iCloud, a Apple está oferecendo US$ 1 milhão.
O programa também ampliou seu alcance e agora cobre falhas em "escapes de sandbox do WebKit com um único clique", com prêmios que podem chegar a US$ 300 mil, além de US$ 1 milhão para quem descobrir explorações sem fio por proximidade, em qualquer tipo de rádio.
Segundo a Apple, esse tipo de colaboração com pesquisadores de segurança tem ajudado a reforçar a proteção de seus sistemas. Entre as melhorias resultantes do programa estão:
- O Modo Isolamento, que reduz as possibilidades de ataque bloqueando anexos, prévias de links e certas funções baseadas na web.
- Uma arquitetura de segurança aprimorada no navegador Safari, com defesas mais robustas contra vulnerabilidades.
- O Memory Integrity Enforcement, recurso presente em chips como o A19, projetado para evitar falhas que corrompem a memória do sistema.
A empresa afirma que, graças a essas medidas, as únicas invasões no nível do sistema iOS atualmente conhecidas são extremamente sofisticadas e geralmente envolvem spyware de alto custo, desenvolvido para atingir um número muito pequeno de alvos específicos.
