Noticias Tecnológicas

Investigadores de Infosec dicen que el programa de recompensas por errores de Apple necesita trabajo

Agrandar / A menos que tenga buenas relaciones con los informadores de errores, es posible que no pueda controlar el cronograma de divulgación.

El Washington Post informó hoy que la relación de Apple con investigadores de seguridad de terceros podría necesitar algunos ajustes adicionales. En particular, el programa «Bug Bounty» de Apple, un método que utilizan las empresas para alentar a los investigadores de seguridad ética a encontrar y revelar de manera responsable problemas de seguridad en sus productos, parece ser menos fácil de investigar y más lento de pagar que el estándar de la industria.

El Post dice que entrevistó a más de dos docenas de investigadores de seguridad que compararon el programa de recompensas por errores de Apple con programas similares en rivales como Facebook, Microsoft y Google. Estos investigadores alegan serios problemas de comunicación y una falta general de confianza entre Apple y la comunidad infosec para atraer sus recompensas: «un programa de recompensas por errores que la casa siempre gana», dijo Katie Moussouris, directora ejecutiva de Luta Security.

Mala comunicación y recompensas impagas

El ingeniero de software Tian Zhang parece un ejemplo perfecto de la anécdota de Moussouris. En 2017, Zhang informó sobre una vulnerabilidad grave en HomeKit, la plataforma de automatización del hogar de Apple. Básicamente, el error permitió a cualquier persona con un Apple Watch hacerse cargo físicamente de todos los accesorios administrados por HomeKit cerca de ellos, incluidas las cerraduras inteligentes, así como las cámaras de seguridad y las luces.

Después de un mes de repetir correos electrónicos de Apple Security sin respuesta, Zhang contrató al sitio de noticias de Apple 9to5Mac para contactar a Apple PR, que Zhang describió como «mucho más receptivo» que Apple Product Security. Dos semanas después, seis semanas después de que se informara por primera vez de la vulnerabilidad, el problema finalmente se resolvió en iOS 11.2.1.

Zhang dijo que su segundo y tercer informe de errores fueron nuevamente ignorados por la seguridad del producto sin que se paguen bonificaciones ni se otorguen créditos, pero los errores en sí mismos se han corregido. La membresía del Programa de Desarrolladores de Apple de Zhang fue revocada después de enviar el tercer error.

A pesar de la subvención

Aunque Brunner otorgó permisos «solo en uso» a la aplicación, descubrió que su aplicación de hecho tenía permisos en segundo plano las 24 horas del día, los 7 días de la semana.

El desarrollador de aplicaciones suizo Nicolas Brunner tuvo una experiencia igualmente frustrante en 2020. Mientras desarrollaba una aplicación para carreteras federales suizas, Brunner descubrió accidentalmente una vulnerabilidad grave de rastreo de ubicación de iOS que permitiría que una aplicación de iOS rastreara a los usuarios sin su consentimiento. En particular, otorgar autorización a la aplicación para acceder a los datos de ubicación solo en primer plano en realidad otorga acceso de seguimiento permanente a la aplicación las 24 horas del día, los 7 días de la semana.

Brunner informó el error a Apple, que finalmente lo solucionó en iOS 14.0 y Brunner incluso lo atribuyó a las notas de la versión de seguridad. Pero Apple dudó siete meses en pagarle una recompensa y finalmente le informó que «el problema informado y su prueba de concepto no muestran las categorías enumeradas» para el pago de la recompensa. Según Brunner, Apple ya no respondió a sus correos electrónicos después de esta notificación, a pesar de las solicitudes de aclaración.

Según la propia página de pagos de Apple, la resolución de problemas de Brunner parece calificar fácilmente para una recompensa de $ 25,000 o incluso $ 50,000 en la categoría «Aplicación instalada por el usuario: Acceso no autorizado a datos confidenciales». Esta categoría se refiere específicamente a «datos confidenciales normalmente protegidos por un mensaje de TCC», y la página de pago luego define «datos confidenciales» para incluir «datos de ubicación precisos históricos o en tiempo real, o datos de usuario similares, que normalmente serían prevenidos por el sistema. «

Cuando se le pidió que comentara sobre el caso de Brunner, Ivan Krstić, Jefe de Ingeniería y Arquitectura de Seguridad de Apple, dijo al Washington Post: «Cuando cometemos errores, trabajamos duro para corregirlos rápidamente y aprendemos de ellos para hacer ese Programa para mejorar rápidamente».

Un programa poco amistoso

El corredor de vulnerabilidades Zerodium ofrece primas sustanciales por errores de día cero, que luego revende a actores de amenazas como el grupo israelí NSO.
Agrandar / El corredor de vulnerabilidades Zerodium ofrece primas sustanciales por errores de día cero, que luego revende a actores de amenazas como el grupo israelí NSO.

Moussouris, quien ayudó a desarrollar programas de recompensas de errores para Microsoft y el Departamento de Defensa, dijo al Post que «debe tener un mecanismo interno de corrección de errores saludable antes de poder intentar crear un programa de divulgación de errores saludable». Moussoris continuó, «¿Qué esperas que suceda cuando? [researchers] informar de un error que ya conocía pero que aún no ha solucionado? ¿O qué pasa si informan de algo que tarda 500 días en solucionarse? «

Una de esas opciones es eludir el programa de recompensas por errores relativamente hostil de un proveedor y, en cambio, vender la vulnerabilidad a los corredores del mercado gris, quienes a su vez pueden obtener acceso a ellos a través de actores de amenazas como el Grupo NSO de Israel. Zerodium ofrece recompensas de hasta 2 millones de dólares por las vulnerabilidades más graves de iOS, con vulnerabilidades menos graves como el error de exposición de ubicación de Brunner en la categoría de «hasta 100.000 dólares».

El ex científico investigador de la NSA, Dave Aitel, dijo al Post que el enfoque cerrado y clandestino de Apple para tratar con los investigadores de seguridad obstaculiza la seguridad general del producto. «Tener una buena relación con la comunidad de seguridad le brinda una visión estratégica que se extiende más allá del ciclo de vida de su producto», dijo Aitel, y agregó: «Contratar a un grupo de personas inteligentes solo lo llevará hasta cierto punto».

Casey Ellis, fundador de Bugcrowd, dice que las empresas deberían pagar a los investigadores si los errores informados causan cambios en el código para corregir una vulnerabilidad, incluso si, como Apple Brunner lo expresó de manera bastante confusa sobre su error de ubicación, el error informado no cumple con la interpretación estricta de la compañía. . «Cuanto más buena fe, más productivos se vuelven los programas de recompensas», dijo.

¿Un éxito rotundo?

La propia descripción de Apple de su programa de recompensas por errores es decididamente más optimista de lo que sugieren los incidentes descritos anteriormente y las reacciones de la comunidad de seguridad en general.

Ivan Krstić, director de Arquitectura e Ingeniería de Seguridad de Apple, dijo al Washington Post que «el programa Apple Security Bounty ha sido un gran éxito». Según Krstić, la compañía casi ha duplicado su pago anual de recompensas por errores y es el líder de la industria en el monto promedio de recompensas.

«Estamos trabajando duro para escalar el programa a medida que crece drásticamente y continuaremos ofreciendo las mejores recompensas a los investigadores de seguridad», continuó Krstić. Pero a pesar del aumento año tras año de Apple en los pagos totales de recompensas de Apple, la compañía está muy por detrás de sus rivales Microsoft y Google, que pagaron un total de $ 13,6 millones y $ 6,7 millones, respectivamente, en sus informes anuales más recientes, respectivamente. , en comparación con los 3,7 millones de dólares de Apple.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba