Apple aprovechó el último día de la conferencia Black Hat, para hablar a fondo acerca de las opciones de seguridad de iOS 13 y macOS, como la funcionalidad Find My en ambos sistemas operativos, que ayuda a localizar un computador con la ayuda de dispositivos Apple cercanos.

Durante esta charla, Ivan Krstić, jefe de Ingeniería y Arquitectura de Seguridad en Apple, mencionó algunas cifras interesantes del programa de recompensa de la tecnológica para aquellos que encuentran agujeros de seguridad en sus diversos servicios.

El programa se ha ampliado a todas las plataformas, incluyendo tvOS y macOS. Apple anunció que pagará hasta un millón de dólares para la vulnerabilidad más importante, que involucra ejecución de código sin interacción del usuario.

¿Cuánto paga Apple por reportar fallos de seguridad?

Recompensa
Acceso no autorizado a los datos de la cuenta de iCloud en servidores Apple $100.000
Ataque por acceso físico Desbloqueo de pantalla
Extracción de datos de usuario
$100.000
$250.000
Ataque a través de una aplicación instalada por el usuario Acceso no autorizado a datos de usuario de alto valor
Ejecución de código del kernel
Ataque de canal lateral de CPU en datos de usuario de alto valor
$100.000
$150.000
$250.000
Ataque de red que requiere interacción del usuario Acceso no autorizado a datos de usuario de alto valor con un clic
Ejecución de código del kernel con un clic
$150.000
$250.000
Ataque a la red sin interacción del usuario Radio al kernel con proximidad física (sin clic)
Acceso a datos de usuario de alto valor (sin clic)
Ejecución de código del kernel con persistencia (sin clic)
$250.000
$500.000
$1.000.000

50 vulnerabilidades de alto impacto en tres años

De acuerdo con Krstić, han recibido 50 vulnerabilidades de alto impacto desde 2016. Recientemente el equipo de seguridad de Google Project Zero reveló seis fallos de seguridad graves en iOS, solventados en su mayoría por Apple, que se encuentran en la categoría más alta en las recompensas.

Dos ingenieros de Project Zero hicieron públicos los resultados, aunque se guardaron los detalles de uno ya que no ha sido resuelto del todo en iOS 12.4. Ante este movimiento, algunas empresas que también ofrecen recompensas de seguridad, indicaron que estos exploits podrían cotizarse entre 2 y 4 millones de dólares, ya que son muy populares entre los atacantes debido a que pueden hackear un iPhone sin que el usuario se dé cuenta.