Scovare un bug nell’iPhone o in un altro dispositivo, software e servizio di Apple potrebbe fruttare molti soldi: fino a un milione di dollari. I programmi di bug bounty non sono una novità per aziende come Apple, Microsoft e Google, che sono ben disposte a sborsare denaro in cambio di preziose segnalazioni di vulnerabilità ancora ignote.. La novità è che per la prima volta si tocca la cifra tonda di un milione di dollari, la ricompensa massima ora prevista dalla società di Cupertino per il suo migliore “cacciatore” di bug. 

 

Lo ha annunciato l’azienda stessa in occasione della Black Hat Conference appena tenutasi a Las Vegas, uno dei più importanti appuntamenti annuali per gli addetti ai lavori e gli appassionati di cybersicurezza. Guadagnare un milione di dollari  non è però così facile: bisogna scoprire una vulnerabilità di gravità estrema, che consenta potenzialmente di realizzare un attacco zero-click in cui si prenda pieno controllo del kernel di iOS. E si suppone, o si spera, che debolezze di questo genere all’interno del sistema operativo dell’iPhone non esistano. Ricompense in denaro sono previste anche per chi segnali problemi in macOS, tvOS e watchOS, ma anche nella piattaforma di archiviazione e sincronizzazione dei file iCloud.

 

La strategia di Apple è cambiata in modo evidente, e giocoforza. Fino a ieri il programma ammetteva un premio da 200.000 dollari per la scoperta della vulnerabilità più grave, e non per tutte le segnalazioni erano previste ricompense in denaro. PIù volte è capitato in passato che alcune persone, in assenza di premi giudicati adeguati, si rifiutassero di segnalare la loro scoperta.

 

Anche il programma di bug bounty di Microsoft è diventato più generoso. Per la scoperta di falle nel software di Azure il premio raddoppia: da 20.000 dollari di limite massimo, si passa a 40.000. Ma si può arrivare a cifre molto superiori vincendo una sorta di sfida che l’azienda di Redmond ha lanciato. È stata creata un’infrastruttura cloud dedicata ai ricercatori di sicurezza e chiamata Azure Security Lab: qui gli “hacker a fin di bene” potranno mettere alla prova le proprie abilità e, nel caso riescano a sferrare attacchi a scopo dimostrativo, potranno guadagnare fino a 300.000 dollari.