Caccia ai bug Apple: premi fino a 1 milione
Apple apre il bug bounty a tutti. Credits: Fossbytes
Appassionati di caccia ai bug? Apple vi paga per farlo. Il programma di “bug bounty” annunciato la scorsa estate è stato definitivamente aperto a chiunque e a tutti i sistemi operativi della casa di Cupertino.
Il valore delle ricompense varia in base alla gravità del bug scoperto, e attualmente il premio più alto è pari a 1 milione di dollari.
Bug, bug Apple ovunque!
Il bug bounty lanciato da Apple non è una novità: esisteva già da prima, ma era rivolto esclusivamente a ricercatori di sicurezza selezionati ed esplicitamente invitati, e i bug di interesse erano solo quelli di iOS. Con il nuovo programma di ricompense la ricerca è aperta a tutti e, oltre ad iOS, ai sistemi operativi iPadOS, macOS, tvOS, watchOS e iCloud.
Se state ancora leggendo e non siete già corsi ad armeggiare coi vostri dispositivi, forse vi interesserà sapere quanto vale ogni bug trovato e come inviare le vostre segnalazioni. Apple ha infatti diviso i bug per categoria e soggetto dell’attacco, e per ognuno di essi ha definito una soglia massima di pagamento.
La ricompensa da 1 milione è relativa alla scoperta di un bug zero-click kernel code execution e bypass del kernel PAC. Si tratta di una vulnerabilità che permetterebbe ad un attaccante di accedere al kernel e prenderne il totale controllo, eseguendo codice custom e bypassando la Pointer Authentication. Questo livello di sicurezza implementato negli iPhone utilizza un Pointer Authentication Code (PAC) per capire se i puntatori sono stati modificati. Il codice non è altro che una “firma” crittografata aggiunta al puntatore. Con “zero-click” si intende un attacco che non ha bisogno dell’interazione dell’utente per verificarsi (ad esempio il click su un link). Inoltre, l’attacco dovrebbe avvenire via rete: per un hacking analogo ma svolto sfruttando la prossimità fisica al device la cifra scende a 250 mila dollari.
L’effettiva somma che Apple fornirà a chi individuerà il bug dipende dall’importanza del bug, definita dal livello di accesso ottenuto dall’attaccante. Il premio aumenta del 50% se il bug viene individuato in una beta o se si tratta di regression bug, ovvero un bug corretto in passato ma che si ripresenta in versioni successive.
Oltre a quelle che rientrano nelle categorie consultabili sulla pagina del bounty, saranno prese i considerazione da Apple tutte le segnalazioni di bug che abbiano un impatto significativo sulla sicurezza del dispositivo, anche se non presenti nella lista.
Come informare Apple?
Se avete trovato un bug non conosciuto potete segnalarlo ad Apple inviando un report a product-security@applecom. La segnalazione deve contenere un esempio completo e funzionante della vulnerabilità trovata, con una spiegazione chiara e dettagliata. Questa comprende, oltre ai passi per riprodurla, anche i prerequisiti necessari. La somma della ricompensa è fortemente influenzata da come viene segnalato il bug.
A massimizzare l’importo contribuiscono anche l’estensività del bug (se è multipiattaforma) e se esso è presente nelle ultime versioni hardware o software pubbliche. Come requisito fondamentale si richiede che si operi su una configurazione standard e accettata da Apple.
Sottolineiamo anche che, per ricevere il denaro, il bug non deve essere reso noto fino a quando Apple non rilascerà la relativa patch di sicurezza. Inoltre, tutte le operazioni di test devono coinvolgere esclusivamente i propri dispositivi o quelli per cui si ha permesso esplicito dei proprietari. Qualsiasi bug individuato utilizzando phishing o tecniche di social engineering non sarà ricompensato, per quanto importante possa essere.
E adesso tiratevi su le maniche e iniziate ad armeggiare coi vostri device Apple: il bug più importante della vostra vita potrebbe essere lì ad aspettarvi.