Desde o lançamento de seu programa de recompensas por bugs há quase uma década, a Apple sempre destacou os pagamentos máximos notáveis – $200.000 em 2016 e $1 milhão em 2019. Agora, a empresa está aumentando as apostas novamente. Na conferência de segurança ofensiva Hexacon em Paris na sexta-feira, o vice-presidente de engenharia de segurança e arquitetura da Apple, Ivan Krstić, anunciou um novo pagamento máximo de $2 milhões por uma cadeia de exploits de software que poderiam ser abusados para spyware.
A medida reflete o quão valiosas podem ser as vulnerabilidades exploráveis dentro do ambiente móvel altamente protegido da Apple – e os esforços que a empresa fará para garantir que tais descobertas não caiam em mãos erradas. Além dos pagamentos individuais, o programa de recompensas da empresa também inclui uma estrutura de bônus, adicionando prêmios adicionais para exploits que podem contornar seu Modo de Bloqueio extra seguro, bem como aqueles descobertos enquanto o software da Apple ainda está em fase beta. Juntas, as recompensas máximas para o que seria, de outra forma, uma cadeia de exploits potencialmente catastrófica agora serão de $5 milhões. As mudanças entram em vigor no próximo mês.
“Estamos prontos para pagar muitos milhões de dólares aqui, e há uma razão”, diz Krstić à WIRED. “Queremos garantir que, para as categorias mais difíceis, os problemas mais difíceis, as coisas que mais se assemelham aos tipos de ataques que vemos com spyware mercenário – que os pesquisadores que têm essas habilidades e capacidades e que investem esse esforço e tempo possam receber uma recompensa tremenda.”
A Apple afirma que há mais de 2,35 bilhões de seus dispositivos ativos em todo o mundo. O programa de recompensas da empresa era originalmente um programa apenas por convite para pesquisadores proeminentes, mas desde que foi aberto ao público em 2020, a Apple afirma que já premiou mais de $35 milhões a mais de 800 pesquisadores de segurança. Pagamentos de alto valor são muito raros, mas Krstić diz que a empresa fez múltiplos pagamentos de $500.000 nos últimos anos.
Além de recompensas potencialmente mais altas, a Apple também está expandindo as categorias do programa de recompensas para incluir certos tipos de exploits de infraestrutura de navegador “WebKit” de um clique, bem como exploits de proximidade sem fio realizados com qualquer tipo de rádio. E há até uma nova oferta conhecida como “Target Flags” que coloca o conceito de competições de captura a bandeira em testes do mundo real do software da Apple para ajudar os pesquisadores a demonstrar rapidamente e de forma definitiva as capacidades de seus exploits.
O programa de recompensas da Apple é apenas um dos muitos investimentos de longo prazo destinados a reduzir a prevalência de vulnerabilidades perigosas ou bloquear sua exploração. Por exemplo, após mais de cinco anos de trabalho, a empresa anunciou uma proteção de segurança no mês passado na nova linha de iPhone 17 que visa anular a classe de bugs iOS mais frequentemente explorados. Conhecido como Aplicação de Integridade de Memória, o recurso é uma grande iniciativa destinada a proteger uma pequena minoria dos grupos mais vulneráveis e altamente visados ao redor do mundo – incluindo ativistas, jornalistas e políticos – enquanto também adiciona defesa para todos os usuários de novos dispositivos. Para esse fim, a empresa anunciou na sexta-feira que doará mil iPhones 17 a grupos de direitos que trabalham com pessoas em risco de enfrentar ataques digitais direcionados.
“Você pode dizer, bem, isso parece um esforço muito grande para proteger apenas aquele número muito pequeno de usuários que estão sendo alvos de spyware mercenário, mas há um histórico incontroverso descrito por jornalistas, empresas de tecnologia e organizações da sociedade civil de que essas tecnologias estão constantemente sendo abusadas”, diz Krstić. “E sentimos uma grande obrigação moral de defender esses usuários. Apesar do fato de que a grande maioria de nossos usuários nunca será alvo de nada parecido com isso, esse trabalho que fizemos acabará aumentando a proteção para todos.