A Apple anunciou um aumento significativo na premiação máxima de seu programa de bug bounty, que agora pode chegar a US$ 2 milhões para vulnerabilidades críticas em cadeias de software que poderiam ser exploradas para espionagem (spyware).

Lançado pela Apple há quase uma década, esse tipo de programa é comum entre grandes empresas globais e visa complementar os testes de segurança tradicionais.

Ele oferece recompensas financeiras (ou outros tipos de premiação) para pesquisadores ou desenvolvedores de segurança que encontrem e reportem vulnerabilidades (os "bugs") em seus sistemas, aplicativos ou plataformas.

O objetivo do programa de bug bounty é incentivar a identificação e correção de falhas de segurança antes que possam ser exploradas de forma maliciosa, ajudando a proteger os usuários e os dados sensíveis.

Em 2016, a premiação máxima era de US$ 200 mil, valor que, em 2019, subiu para US$ 1 milhão. Agora, a Apple está dobrando a possível recompensa.

O anúncio foi feito nesta sexta-feira, 10, por Ivan Krstić, vice-presidente de engenharia e arquitetura de segurança da empresa, durante a conferência Hexacon, em Paris.

Esse expressivo aumento reflete a crescente preocupação da Apple com a segurança de seu ecossistema, composto por mais de 2,35 bilhões de dispositivos ao redor do mundo, especialmente diante de ameaças como spywares.

Além das recompensas individuais, a empresa também introduziu uma estrutura de bônus, com premiações extras para vulnerabilidades que possibilitem contornar o Modo de Bloqueio, uma função de segurança avançada da Apple, ou que sejam descobertas enquanto os softwares ainda estão em fase beta.

Com essas mudanças, a premiação máxima pode alcançar US$ 5 milhões. As novas regras entram em vigor no próximo mês.

Krstić explicou à Wired que a Apple quer garantir que pesquisadores especializados em detectar falhas críticas, especialmente as relacionadas a spyware mercenário, sejam bem recompensados.

Desde que o programa foi aberto ao público em 2020, mais de 800 pesquisadores já receberam prêmios, totalizando recompensas superiores a US$ 35 milhões, com alguns pagamentos na casa dos US$ 500 mil.

Outras mudanças

Além do aumento nas recompensas, a Apple também ampliou as categorias do programa, incluindo vulnerabilidades em infraestrutura de navegador WebKit e falhas de proximidade sem fio.

A empresa introduziu, ainda, a função Target Flags, que permite que pesquisadores demonstrem suas descobertas de forma mais eficiente.

O programa de bug bounty é uma das várias iniciativas da empresa para mitigar vulnerabilidades em seus dispositivos.

Recentemente, a Apple lançou um novo recurso de segurança no iPhone 17, o Memory Integrity Enforcement, que visa proteger usuários de grupos altamente vulneráveis, como ativistas, jornalistas e políticos, de ataques digitais.

Além disso, a Apple anunciou a doação de mil iPhones 17 para organizações de direitos humanos, com o objetivo de ampliar a defesa contra ataques direcionados.