Apple aprovechó el último día de la conferencia Black Hat, para hablar a fondo acerca de las opciones de seguridad de iOS 13 y macOS, como la funcionalidad Find My en ambos sistemas operativos, que ayuda a localizar un computador con la ayuda de dispositivos Apple cercanos.
Durante esta charla, Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad en Apple, mencionó algunas cifras interesantes del programa de recompensa de la tecnológica para aquellos que encuentran agujeros de seguridad en sus diversos servicios.
El programa se ha ampliado a todas las plataformas, incluyendo tvOS y macOS. Apple anunció que pagará hasta un millón de dólares para la vulnerabilidad más importante, que involucra ejecución de código sin interacción del usuario.
¿Cuánto paga Apple por reportar fallos de seguridad?
Recompensa | ||
---|---|---|
Acceso no autorizado a los datos de la cuenta de iCloud en servidores Apple | $100.000 | |
Ataque por acceso físico | Desbloqueo de pantalla Extracción de datos de usuario |
$100.000 $250.000 |
Ataque a través de una aplicación instalada por el usuario | Acceso no autorizado a datos de usuario de alto valor Ejecución de código del kernel Ataque de canal lateral de CPU en datos de usuario de alto valor |
$100.000 $150.000 $250.000 |
Ataque de red que requiere interacción del usuario | Acceso no autorizado a datos de usuario de alto valor con un clic Ejecución de código del kernel con un clic |
$150.000 $250.000 |
Ataque a la red sin interacción del usuario | Radio al kernel con proximidad física (sin clic) Acceso a datos de usuario de alto valor (sin clic) Ejecución de código del kernel con persistencia (sin clic) |
$250.000 $500.000 $1.000.000 |
50 vulnerabilidades de alto impacto en tres años
De acuerdo con Krstić, han recibido 50 vulnerabilidades de alto impacto desde 2016. Recientemente el equipo de seguridad de Google Project Zero reveló seis fallos de seguridad graves en iOS, solventados en su mayoría por Apple, que se encuentran en la categoría más alta en las recompensas.
Dos ingenieros de Project Zero hicieron públicos los resultados, aunque se guardaron los detalles de uno ya que no ha sido resuelto del todo en iOS 12.4. Ante este movimiento, algunas empresas que también ofrecen recompensas de seguridad, indicaron que estos exploits podrían cotizarse entre 2 y 4 millones de dólares, ya que son muy populares entre los atacantes debido a que pueden hackear un iPhone sin que el usuario se dé cuenta.