Este programa de recompensas iniciado por Apple sólo será accesible a través de invitación, estando abierto solamente a dos docenas de personas. La recompensa máxima será de 200.000 dólares y tendrá el foco puesto en iOS y iCloud, habiendo cinco tipos de categorías de bugs reconocidas.

La compañía dice que las recompensas no son rígidas y que cualquier investigador que reporte un bug que se pueda encuadrar en alguna las categorías podría recibir una invitación al programa. Durante su intervención, Ivan Krstic, que fue el encargado de hacer la presentación del programa, se dedicó la mayor parte del tiempo a exponer de forma profunda las 10 características a nivel de seguridad de iOS, incluyendo la nueva función de mapeo WebKit JIT endurecida que hace mucho más difícil a los atacantes el explotar vulnerabilidades de corrupción de memoria en Safari JIT de iOS.

La recompensa de 200.000 dólares estará destinada para aquellos que presenten vulnerabilidades con una prueba de concepto en los componentes de arranque seguro del firmware. Se pagará 100.000 dólares a aquellos que sean capaces de extraer material confidencial protegido por el Enclave de Procesador Seguro. 50.000 dólares se llevarán aquellos que sean capaces de ejecutar código con privilegios en el kernel o accesos no autorizados a una cuenta de iCloud o a los servidores de Apple. Las recompensas más bajas, que son de 25.000 dólares, se las llevarán aquellos que sean capaces de acceder a datos de los usuarios desde fuera de un sandbox. Apple no espera revelar los nombres de los investigadores que sean invitados al programa.

El hecho de realizar el programa de recompensas de esta manera tiene una razón, y es que la compañía espera poner el foco en la calidad y no tanto en la cantidad.

Tabla-de-recompensas-ofrecidas-por-Apple.jpg

 

Fuentes: ThreadPost | muyseguridad