I punti chiave
Una cifra da capogiro che fa già gola a chi in questo settore è competente: la Apple ha promesso una ricompensa di ben due milioni di dollari a chi riuscirà a evitare l'attacco di bug sui propri dispositivi iPhone rivelando le violazioni che avvengono sui telefoni, in particolare quelli che si chiamano "attacchi zero-click" che si possono cioè effettuare a distanza.
Cos'è "Bug bounty"
La cifra, già elevatissima, potrà addirittura lievitare ancora fino ad arrivare a cinque milioni di dollari con l'introduzione di ulteriori bonus per chi sarà bravo a scoprire le varie falle del sistema. Gli esperti sottolineano il fatto che queste cifre da capogiro evidenziano come Apple, negli ultimi tempi, sia evidentemente diventata più vulnerabile. "Le protezioni che mantengono al sicuro i nostri utenti rendono anche incredibilmente difficile il lavoro dei ricercatori. Con questi nuovi payout vogliamo continuare a incentivarli a fare ricerca sulla nostra piattaforma", ha dichiarato Ivan Krsti, Head of Security Engineering and Architecture di Apple in un’intervista con Italian Tech. Il programma si chiama bug bounty, ovvero un'offerta grazie alla quale i singoli utenti possono ricevere un riconoscimento e un compenso per la segnalazione di bug, in particolare quelli relativi a vulnerabilità di sicurezza.
Le cifre
Apple, da quando ha introdotto questo programma, ha già sborsato più di 35 milioni di dollari a quasi mille ricercatori con premi che hanno toccato anche i 500mila dollari a persona. Nel dettaglio, verranno premiati con un milione di dollari coloro i quali scoprono gli attacchi "one-click" (cioé con l'interazione di un utente) ma anche 500mila dollari anche per chi riuscirà a dimostrare come si possa accedere realmente a un dispositivo che è protetto dal pin.
Memory Integrity Enforcement
Gli ultimissimi iPhone lanciati sul mercato (17 e 17 Pro) possiedono un sistema chiamto Mie (Memory Integrity Enforcement) che impedisce che gli spyware possano inserirsi nel sistema e dare origini a vari bug. Questo nuovo sistema è stato realizzato per impedire che possano essere hackerati profili di personaggi illustri tra i quali figurano i politici. "Lo spyware mercenario è storicamente associato ad attacchi 'di stato' e utilizza catene di exploit che costano milioni di dollari per colpire un numero molto ridotto di individui e dei loro dispositivi", hanno spiegato gli sviluppatori Apple.
"Sebbene la stragrande maggioranza degli utenti non sarà mai presa di mira in questo modo, queste catene di exploit rappresentano alcune delle capacità offensive più costose, complesse e avanzate disponibili in un determinato momento e meritano quindi un'attenzione particolare.
Le catene di spyware mercenario conosciute, usate contro iOS, hanno un denominatore comune con quelle che prendono di mira Windows e Android: sfruttano vulnerabilità di sicurezza della memoria, che sono intercambiabili, potenti e diffuse in tutto il settore".Allo sviluppo del Mie c'è un gruppo di lavoro che si applica da ben cinque anni ottenendo un risultato di altissimo livello: adesso, anche gli spyware più sofisticati non riusciranno a entrare nei sistemi.
