No ha pasado mucho tiempo tras el anuncio de un Programa de Recompensas de Seguridad de Apple. Ante la expectativa y en la espera de hallar a los hackers más poderosos existentes, Zerodium ha decidido triplicar su generosidad; por lo que estará ofreciendo una recompensa de $1,5 millones a la persona que sea capaz de efectuar un jailbreak de iOS 10.
Zerodium es reconocido por pagar recompensas de primera calidad a todos aquellos investigadores de seguridad; con el propósito de para adquirir exploits nunca antes reportados apenas salgan a la luz; que sean capaces de afectar sistemas operativos de vanguardia, software en general y/o dispositivos muy conocidos.
Las expectativas de la compañía siempre han sido altas. Es bien sabido que en la mayor parte de los programas de recompensas de errores, aceptan pagar por casi cualquier tipo de vulnerabilidades y PoCs hallados en cualquier tipo de dispositivo; pagando recompensas de menor calidad. No obstante, en esta otra compañía, son mejor valoradas las vulnerabilidades de alto riesgo que contengan exploits completamente funcionales; por lo cual se sienten satisfechos al pagar los premios más altos en el mercado.
De $1 millón, Zerodium aumentó recompensa a $1,5millones
En un principio, la compañía ofreció el pago de una recompensa de $1 millón a la persona que lograra realizar el jailbreak de iOS 9; y, tan solo a mes y medio después, un equipo de hackers logró hacerlo y recibió el premio.
El aumento en la recompensa de este año tiene un motivo; y esto fue debido al ofrecimiento de Apple en su propio programa de recompensas. En este programa, la compañía de Cupertino ofrece pagar hasta $200.000 a los desarrolladores que logren descubrir algún tipo de vulnerabilidad en su software de Apple.
Es importante recordar que Zerodium no acepta PoCs que manifiesten exploits que funcionan en «teoría» mas no en práctica. Solo aceptan vulnerabilidades con exploits funcionales que incluyan una o más etapas. Por ejemplo, exploits en navegadores con o sin un bypass de sandbox. Asimismo, tampoco cancela recompensas por vulnerabilidades o exploits que afecten servicios en línea tales como Facebook, Google, Apple, etc; puesto que exigen que se reporten estas vulnerabilidades directamente al proveedor de servicios afectado.