Como parte de uma apresentação de segurança conduzida na conferência Black Hat, evento voltado a esse assunto nos EUA, a Apple anunciou um programa de recompensas que entrará em vigor este semestre. A campanha vai pagar até US$ 200 mil (que seriam R$ 670 mil na atual cotação do dólar) a pesquisadores de segurança que descobrirem brechas e bugs nos produtos da Maçã e reportá-los à empresa.

Convém lembrar que gigantes como Google, Microsoft e Facebook já aderiram a programas assim, mas essa é a primeira vez que a Apple faz isso. Por enquanto, a companhia de Steve Jobs está mantendo discreto o escopo do projeto, que aceitará relatórios de bugs de um pequeno grupo composto por especialistas no assunto, geralmente engenheiros que atuaram com isso em sua rotina de trabalho.

No momento, as recompensas estão sendo oferecidas para uma pequena porcentagem de dispositivos da Apple e bugs do iCloud. Confira os valores pagos a cada problema reportado – e constatado, naturalmente:

  • Problemas relacionados a componentes de firmware: até US$ 200 mil;
  • Extração de material confidencial protegido pelo Secure Enclave: até US$ 100 mil;
  • Execução de código arbitrário com privilégios kernel: até US$ 50 mil;
  • Acesso realizado a partir de um processo fechado a dados de usuários fora desse processo: até US$ 25 mil;
  • Acesso não autorizado aos dados da conta do iCloud nos servidores da Apple: até US$ 50 mil.

A Apple sempre teve um sistema fechado

A explicação foi dada por Rich Mogull, CEO da Securosis. O executivo contou um pouco sobre a decisão da Apple de iniciar um programa de recompensas com esse formato. “Diferentemente de alguns membros de nossa comunidade, eu não acredito que recompensas de bugs sempre fazem sentido para a empresa. Especialmente para gigantes como a Apple. (...) Elas não querem entrar em conflito com governos e organizações criminosas bem pagas. Por outro lado, existem os problemas que podem acabar com a engenharia e os recursos de comunicação [do aparelho]”, opinou Mogull.

Os pesquisadores que quiserem reclamar suas recompensas terão de enviar um relatório completo à Apple com a prova de que a falha existe na última versão estável do iOS. Se os bugs estiverem relacionados ao hardware, a prova também deve funcionar na última distribuição de iPad ou iPhone. A Apple pede que os especialistas não eliminem os bugs antes que a empresa tenha tempo hábil de fazer isso.

Por mais que o iOS seja um sistema fechado, investir em segurança assim – e com esse pequeno “incentivo” – é a garantia de que os usuários possam continuar tendo a melhor experiência possível no sistema operacional. O que você acha disso? Opine na seção destinada aos comentários, logo adiante.

Cupons de desconto TecMundo: