Investigadores de Infosec dicen que el programa de recompensa por errores de Apple necesita mejoras

12:03 10/09/2021 | Lượt xem

Gusano de dibujos animados en una manzana de dibujos animados.
Ampliar / Si no mantiene una buena relación con los informadores de errores, es posible que no pueda controlar el programa de lanzamiento.

El Washington Post informó hoy que la relación de Apple con investigadores de seguridad de terceros puede necesitar algunos ajustes adicionales. Específicamente, el programa de “recompensas por errores” de Apple, una forma en que las empresas alientan a los investigadores de seguridad ética a encontrar y revelar de manera responsable los problemas de seguridad de sus productos, parece menos amigable para los investigadores y más lento de pagar que el estándar de la industria.

El Post dijo que entrevistó a más de dos docenas de investigadores de seguridad que compararon el programa de recompensas por errores de Apple con programas similares de competidores como Facebook, Microsoft y Google. Estos investigadores alegan serios problemas de comunicación y una falta general de confianza entre Apple y la comunidad infosec de que sus recompensas deberían ser atractivas: “un programa de recompensa por errores donde la casa siempre gana”, según la directora ejecutiva de Luta Security, Katie Moussouris.

Mala comunicación y recompensas impagas

El ingeniero de software Tian Zhang parece ser un ejemplo perfecto de la anécdota de Moussouris. En 2017, Zhang informó sobre una importante brecha de seguridad en HomeKit, la plataforma de automatización del hogar de Apple. Esencialmente, la falla permitió a cualquier persona con un Apple Watch hacerse cargo de cualquier accesorio administrado por HomeKit físicamente cerca de ellos, incluidas las cerraduras inteligentes, así como las cámaras de seguridad y las luces.

Después de un mes de correos electrónicos repetidos sin respuesta a Apple Security, Zhang reclutó el sitio de noticias 9to5Mac de Apple para que se pusiera en contacto con Apple PR, que Zhang describió como “mucho más ágil” que Apple Product Security. Dos semanas después, seis semanas después del informe de vulnerabilidad inicial, el problema finalmente se solucionó en iOS 11.2.1.

Según Zhang, su segundo y tercer informe de errores fueron nuevamente ignorados por Product Security, sin recompensas pagadas ni crédito otorgado, pero los errores en sí mismos fueron corregidos. La membresía del Programa de Desarrolladores de Apple de Zhang fue revocada después de que se envió el tercer error.

a pesar de conceder

A pesar de otorgar permisos de “solo en uso” a la aplicación, Brunner descubrió que su aplicación en realidad recibía permiso en segundo plano las 24 horas del día, los 7 días de la semana.

El desarrollador de aplicaciones suizo Nicolas Brunner tuvo una experiencia igualmente frustrante en 2020. Mientras desarrollaba una aplicación para Swiss Federal Roadways, Brunner descubrió accidentalmente una vulnerabilidad grave de rastreo de ubicación de iOS que permitiría que una aplicación de iOS rastreara a los usuarios sin su consentimiento. Específicamente, otorgar permiso a una aplicación para acceder a los datos de ubicación solo mientras está en primer plano le ha otorgado acceso de seguimiento permanente a la aplicación las 24 horas del día, los 7 días de la semana.

Brunner informó del error a Apple, que finalmente lo solucionó en iOS 14.0 e incluso le dio crédito a Brunner en las notas de la versión de seguridad. Pero Apple dudó durante siete meses en pagarle una recompensa, y finalmente le notificó que “el problema informado y su prueba de concepto no demuestran las categorías enumeradas” para el pago de la recompensa. Según Brunner, Apple dejó de responder a sus correos electrónicos después de esta notificación, a pesar de las solicitudes de aclaración.

Según la propia página de pagos de Apple, el descubrimiento de errores de Brunner parece calificar fácilmente para una recompensa de $ 25,000 o incluso $ 50,000 en la categoría “Aplicación instalada por el usuario: Acceso no autorizado a datos confidenciales”. Esta categoría hace referencia específicamente a “datos confidenciales normalmente protegidos por un aviso de TCC” y la página de pagos define además “datos confidenciales” para incluir “datos precisos de ubicación histórica o en tiempo real, o datos de usuario similares, que normalmente el sistema evitaría. “

Cuando se le pidió que comentara sobre el caso de Brunner, el jefe de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, dijo a The Washington Post que “cuando cometemos errores, trabajamos duro para corregirlos rápidamente y aprender de ellos para mejorar rápidamente el programa”.

un programa hostil

El corredor de vulnerabilidades Zerodium ofrece recompensas sustanciales por errores de día cero, que luego revende a agentes de amenazas como el Grupo NSO de Israel.
Ampliar / El corredor de vulnerabilidades Zerodium ofrece recompensas sustanciales por errores de día cero, que luego revende a agentes de amenazas como el Grupo NSO de Israel.

Moussouris, que ayudó a crear programas de recompensas por errores para Microsoft y el Departamento de Defensa de EE. UU., Dijo al Post que “es necesario contar con un mecanismo interno saludable de corrección de errores antes de intentar implementar un programa de divulgación de vulnerabilidades. . ” Moussoris seguía preguntando “¿qué esperas que suceda si [researchers] informar de un error que ya conocía pero que no solucionó? ¿O qué pasa si informan de algo que tarda 500 días en solucionarse? “

Una de esas opciones es eludir un programa de recompensas por errores relativamente hostil ejecutado por el proveedor en cuestión y vender la vulnerabilidad a los corredores del mercado gris, donde el acceso a ellos puede, a su vez, ser adquirido por agentes de amenazas como el Grupo NSO de Israel. Zerodium ofrece recompensas de hasta 2 millones de dólares por las vulnerabilidades más graves de iOS, con vulnerabilidades menos graves como el error de exposición de ubicación de Brunner en su categoría de “hasta 100.000 dólares”.

El ex investigador de la NSA, Dave Aitel, le dijo al Post que el enfoque cerrado y secreto de Apple para tratar con los investigadores de seguridad socava la seguridad general del producto. “Tener una buena relación con la comunidad de seguridad le brinda una visión estratégica que va más allá del ciclo de su producto”, dijo Aitel, y agregó que “contratar a un grupo de personas inteligentes simplemente lo lleva allí”.

El fundador de Bugcrowd, Casey Ellis, dice que las empresas deberían pagar a los investigadores cuando los errores informados conducen a cambios en el código, cerrando una vulnerabilidad, incluso si, como Apple le dijo confusamente a Brunner sobre su error de localización, el error reportado no cumple con la estricta interpretación de la compañía de sus pautas. “Mientras más buena fe haya, más productivos serán los programas de recompensa”, dijo.

¿Un gran éxito?

La propia descripción de Apple de su programa de recompensas por errores es decididamente más optimista de lo que parecen sugerir los incidentes descritos anteriormente, y las reacciones de la comunidad de seguridad en general.

El jefe de Ingeniería y Arquitectura de Seguridad de Apple, Ivan Krstić, dijo al Washington Post que “el programa Apple Security Bounty fue un gran éxito”. Según Krstić, la compañía casi ha duplicado su pago anual de recompensas por insectos y lidera la industria en valor de recompensa promedio.

“Estamos trabajando duro para escalar el programa durante su espectacular crecimiento y continuaremos ofreciendo las mejores recompensas a los investigadores de seguridad”, continuó Krstić. Pero a pesar del aumento año tras año de Apple en los pagos totales de recompensa, la compañía está muy por detrás de sus rivales Microsoft y Google, que pagaron un total de $ 13,6 millones y $ 6,7 millones, respectivamente, en sus informes anuales más recientes, en comparación con los $ 3,7 millones de Apple.

Related Posts

Todo lo que necesitas saber

La HP Chromebook x2 11 es una de las mejores tabletas con sistema operativo Chrome que puede comprar hoy. Con Snapdragon 7c compatible con dispositivos móviles de Qualcomm, mucha RAM y soporte para lápiz...

lên đầu trang