por Contenidos
The Washington Post informó anteriormente que la relación de Apple con investigadores de seguridad de terceros puede necesitar un ajuste más preciso. En particular, el programa de recompensas por errores de Apple, una forma en que las empresas alientan a los investigadores de seguridad ética a encontrar y revelar de manera responsable problemas de seguridad con sus productos, parece menos adecuado para los investigadores y más lento de pagar que el estándar de la industria.
El Post dice que entrevistó a más de dos docenas de investigadores de seguridad que compararon el programa de recompensas por errores de Apple con programas similares de competidores como Facebook, Microsoft y Google. Esos investigadores dicen que hay serios problemas de comunicación y una falta general de confianza entre Apple y la comunidad de seguridad de que sus recompensas deberían ser tentadoras: “un programa de recompensas por errores donde la casa siempre gana”, según Katie Moussouris, directora ejecutiva de Luta Security.
Mala comunicación y recompensas no pagadas
El ingeniero de software Tian Zhang parece ser un ejemplo perfecto de la anécdota de Moussouris. En 2017, Zhang informó de una falla de seguridad grave en HomeKit, la plataforma de automatización del hogar de Apple. Esencialmente, la falla permitió a cualquier persona con un Apple Watch recibir cualquier accesorio operado por HomeKit físicamente cerca de ellos, incluidas las cerraduras inteligentes, así como cámaras de seguridad y luces.
Después de un mes de repetidos correos electrónicos de seguridad de Apple sin respuesta, Zhang reclutó al sitio de noticias de Apple 9to5Mac para que se pusiera en contacto con Apple PR, que Zhang describió como “mucho más receptivo” que Apple Product Security. Dos semanas más tarde, seis semanas después de informar inicialmente sobre la vulnerabilidad, el problema finalmente se solucionó en iOS 11.2.1.
Según Zhang, su segundo y tercer informe de errores fueron nuevamente ignorados por Product Security, sin recompensas pagadas ni créditos otorgados, pero los errores en sí fueron corregidos. La membresía del Programa de desarrolladores de Apple de Zhang fue revocada después de que se informó del tercer error.
A pesar de otorgar a la aplicación permisos “solo en uso”, Brunner descubrió que su aplicación en realidad recibía permisos en segundo plano las 24 horas del día, los 7 días de la semana.
El desarrollador de aplicaciones suizo Nicolas Brunner tuvo una experiencia igualmente frustrante en 2020. Mientras desarrollaba una aplicación para Swiss Federal Roads, Brunner descubrió accidentalmente una vulnerabilidad grave de detección de ubicación de iOS que permitiría que una aplicación de iOS rastreara a los usuarios sin su consentimiento. Específicamente, otorgar permiso a una aplicación para acceder a los datos de ubicación solo mientras estaba en primer plano en realidad otorgaba acceso permanente y monitoreo y acceso a la aplicación las 24 horas del día, los 7 días de la semana.
Brunner informó el error a Apple, quien finalmente lo solucionó en iOS 14.0 e incluso le dio crédito a Brunner en las notas de la versión de seguridad. Pero Apple dudó durante siete meses en pagarle una recompensa, y finalmente le notificó que “el problema informado y su prueba de concepto no prueban las categorías enumeradas” para pagar la recompensa. Según Brunner, Apple dejó de responder a sus correos electrónicos después de esa notificación, a pesar de las solicitudes de aclaración.
Según la página de pagos de Apple, el descubrimiento de errores de Brunner parecería calificar fácilmente para una recompensa de $ 25,000 o incluso $ 50,000 en la categoría “Aplicación instalada por el usuario: Acceso no autorizado a datos confidenciales”. Esa categoría se refiere específicamente a “datos confidenciales normalmente protegidos por un mensaje de TCC” y la página de pagos define posteriormente “datos confidenciales” para incluir “datos precisos de ubicación histórica o en tiempo real, o datos de usuario similares, que normalmente se evitarían. sistema. “
Cuando se le pidió que comentara sobre el caso de Brunner, Ivan Krstić, Jefe de Ingeniería y Arquitectura de Seguridad de Apple, dijo al Washington Post que “cuando cometemos errores, trabajamos duro para corregirlos rápidamente y aprendemos de ellos para mejorar el programa rápidamente”.
Un programa hostil
Moussouris, quien ayudó a crear programas de recompensas por errores tanto para Microsoft como para el Departamento de Defensa de EE. UU., Dijo al Post que “es necesario contar con un mecanismo interno saludable de corrección de errores antes de poder intentar tener un programa de recompensas por errores. Vulnerabilidad de errores saludables divulgación “. Moussoris continuó preguntando “¿qué esperas que suceda si [researchers] para informar de un error que ya conocía pero que no solucionó? ¿O qué pasa si informan de algo que tarda 500 días en solucionarse? “
Una de esas opciones es eludir un programa de recompensas por errores relativamente hostil ejecutado por el proveedor en cuestión y, en cambio, vender la vulnerabilidad a los corredores del mercado gris, donde el acceso a ellos a su vez puede ser comprado por actores de amenazas como el grupo NSO israelí. Zerodium ofrece recompensas de hasta 2 millones de dólares por las vulnerabilidades más graves de iOS, con vulnerabilidades menos graves como el error de exposición de Brunner en su categoría de “hasta 100.000 dólares”.
El ex investigador de la NSA, Dave Aitel, dijo al Post que el enfoque cerrado y encubierto de Apple para tratar con los investigadores de seguridad obstaculiza la seguridad general del producto. “Tener una buena relación con la comunidad de seguridad le brinda una visión estratégica que va más allá del ciclo de su producto”, dijo Aitel, y agregó que “contratar a un grupo de personas inteligentes solo lo lleva hasta cierto punto”.
El fundador de Bugcrowd, Casey Ellis, dice que las empresas deberían pagar a los investigadores cuando los errores informados conducen a cambios de código que cierran una vulnerabilidad, aunque, como Apple le dijo a Brunner de manera bastante confusa sobre su error de localización, el error informado no cumple con la interpretación estricta de la compañía de sus pautas. “Cuanto más prosiga la buena fe, más productivos serán los programas de recompensas”, dijo.
¿Un éxito abrumador?
La descripción de Apple de su programa de recompensas por errores es decididamente más optimista que los incidentes descritos anteriormente y las reacciones de la comunidad de seguridad en general parecen sugerir.
El jefe de ingeniería y arquitectura de seguridad de Apple, Ivan Krstić, dijo al Washington Post que “el programa Apple Security Bounty ha sido un éxito abrumador”. Según Krstić, la compañía casi duplicó sus ganancias anuales de recompensas por errores y lidera la industria en la cantidad promedio de recompensas.
“Estamos trabajando arduamente para expandir el programa durante su espectacular crecimiento y continuaremos ofreciendo las mejores recompensas a los investigadores de seguridad”, continuó Krstić. Pero a pesar del aumento interanual de Apple en los pagos totales de recompensas, la compañía está muy por detrás de sus rivales Microsoft y Google, que han pagado un total de $ 13,6 millones y $ 6,7 millones respectivamente en sus informes. 3,7 millones.
