Nell’ultimo giorno del Black Hat USA, Apple ha annunciato una serie di importanti novità riguardo la sicurezza del proprio ecosistema. Attualmente esisteva un bounty program limitato a pochi sviluppatori e ricercatori selezionati, che aiutavano l’azienda ad identificare falle in iOS ottenendo modeste ricompense. D’ora in avanti il programma verrà esteso all’intero ecosistema software, includendo anche macOS ed iCloud, tra gli altri. Inoltre saranno aperte le porte a tutti i ricercatori che identificheranno vulnerabilità, aumentando il tetto massimo delle ricompense da $200.000 a 1 milione di dollari.
Ad esempio: $100.000 andranno a chi riuscirà ad aggirare la schermata di blocco o ad accedere ad iCloud senza credenziali, $250.000 sono il premio per chi riuscirà ad attaccare il sistema tramite un’app, mentre $1 milione sarà la ricompensa per chi localizzerà un bug tramite il quale prendere possesso dello smartphone via network senza intervento dell’utente. Il programma sarà valido anche per i software in fase Beta, dando diritto ad un bonus del 50% che si sommerà quindi alla cifra già stabilita per le release normali.
Altra interessante novità annunciata sarà l’avvio del programma iOS Security Research Device l’anno prossimo, che si concretizzerà nella fornitura di particolari dispositivi sbloccati (con ssh, root e funzionalità avanzate di debug) ad alcuni ricercatori selezionati dall’azienda. In pratica saranno iPhone sbloccati di fabbrica, simili a quelli su cui si esegue il jailbreak, e con i quali si potrà andare molto più a fondo nell’analizzare i bug e controllare anche il livello di attacco possibile su dispositivi sbloccati.