Skip to main content

Apple mette sul piatto 1 milione di dollari per chi riuscirà a scoprire vulnerabilità nel suo cloud privato IA

Apple security research
28 Ottobre 2024, 14:26 | Andrea De Luca Andrea De Luca

Apple ha annunciato un’importante espansione del suo programma di bug bounty: offrirà una ricompensa fino a 1 milione di dollari a chi sarà in grado di migliorare la sicurezza del servizio Private Cloud Compute.

Un bug bounty per migliorare la sicurezza

Il nuovo programma di bounty si focalizza su tre principali categorie di minacce: divulgazione accidentale dei dati, compromissioni esterne derivanti da richieste degli utenti e vulnerabilità legate all’accesso fisico o interno.

Tra gli obiettivi prioritari, Apple cerca di identificare esecuzioni di codice remoto, estrazioni di dati sensibili e attacchi basati su reti. La ricompensa massima, fissata a 1 milione di dollari, sarà assegnata ai ricercatori in grado di dimostrare exploit che permettano l’esecuzione remota di codice dannoso sui server del Private Cloud Compute.

Apple offre anche compensi fino a 250.000 dollari per la segnalazione di vulnerabilità che consentano l’estrazione di informazioni sensibili o di prompt inviati dagli utenti. Inoltre, exploit che accedono a dati sensibili da una posizione di rete privilegiata possono far guadagnare ai ricercatori fino a 150.000 dollari.

L’azienda ha sottolineato che queste ricompense per le vulnerabilità del Private Cloud Compute sono equiparabili a quelle offerte per iOS, data la rilevanza del servizio per la sicurezza e la privacy.

Per facilitare il lavoro dei ricercatori, Apple mette a disposizione risorse avanzate per ispezionare e verificare l’infrastruttura di sicurezza di Private Cloud Compute. Tra queste risorse figurano una guida dettagliata alla sicurezza, un Virtual Research Environment (VRE) per l’analisi diretta del sistema su Mac e l’accesso a parti di codice sorgente per i componenti chiave, sotto licenza a uso limitato.

Apple considera la fornitura di questi strumenti come una mossa senza precedenti, volta a costruire maggiore fiducia nel sistema. L’azienda ha già concesso l’accesso anticipato a revisori terzi e selezionati ricercatori di sicurezza. “Oggi rendiamo pubblicamente disponibili queste risorse per invitare tutti i ricercatori di sicurezza e privacy – o chiunque sia interessato e abbia curiosità tecnica – a conoscere meglio PCC e a effettuare le proprie verifiche indipendenti sulle nostre affermazioni.” ha dichiarato Apple.

Il VRE, utilizzabile su Mac con chip Apple silicon e almeno 16GB di memoria unificata, offre strumenti avanzati per esaminare e verificare le release software di PCC, eseguire i rilasci in un ambiente virtualizzato, testare modelli di intelligenza artificiale dimostrativi e modificare il software per analisi approfondite.

Apple ha inoltre reso disponibili i codici sorgente di vari componenti di Private Cloud Compute che coprono aspetti di sicurezza e privacy, tra cui i progetti CloudAttestation, Thimble, il daemon splunkloggingd e il progetto srd_tools.

L’azienda ha infine precisato che valuterà eventuali segnalazioni di problemi di sicurezza con un impatto significativo, anche se non rientrano nelle categorie ufficialmente pubblicate. “Valuteremo ogni rapporto in base alla qualità delle informazioni presentate, alla prova di ciò che può essere sfruttato e all’impatto per gli utenti.” ha concluso Apple.

Fonte

Tag: |

Andrea De Luca
Andrea De Luca, nato nel 1998, nel cuore dell’era digitale. La passione per l’informatica affonda le radici fin dalla sua adolescenza. Wannabe ingegnere informatico, nel frattempo studio codice, costruisco computer e tastiere meccaniche custom. Ama leggere libri di fantascienza.