Hackers éticos ajudariam na segurança do iPhone, mas a Apple tem vacilado

A maioria das pessoas, quando vê a palavra "hacker", imagina o estereótipo clássico: uma pessoa vestindo roupas pretas e capuz, sentada em frente a um computador com vários monitores de luz verde, numa sala escura.

Na realidade, a maioria dos hackers são pessoas comuns que se especializaram em segurança da informação, seja por formação ou por conta própria. Além disso, a maioria deles não é do tipo que tenta invadir sistemas e quebrar proteções apenas para ganho próprio, mas sim o que a indústria chama de "hacker ético". Um hacker ético é aquele que busca vulnerabilidades em sistemas com o objetivo de corrigi-las.

Relacionadas

Você deveria ter direito de reparar sozinho o iPhone sem passar pela Apple?

Roubo de iPhone dá dor de cabeça, mas dá para dificultar a vida do ladrão

Receba notícias de Tilt no WhatsApp e no Telegram

Hackers éticos podem ser contratados por empresas de tecnologia para tentar invadir seus sistemas, produzindo então um relatório do que foi encontrado para que se possa fechar as brechas antes que um hacker com más intenções as encontre.

Quando estamos falando de empresas grandes, como Apple, Facebook, Google, entre outras, dificilmente elas contratarão hackers para realizarem esse tipo de serviço de forma terceirizada. Essas empresas empregam times de especialistas em segurança da informação, responsáveis por fazer esse trabalho internamente.

Apesar disso, não existe time de segurança perfeito, assim como não existe software perfeito. Sendo assim, mesmo existindo profissionais capacitados responsáveis pela segurança dos sistemas dessas empresas, é inevitável que algumas falhas escapem.

É aí que entra novamente o trabalho do hacker ético. Existem diversos hackers no mundo que buscam vulnerabilidades nos sistemas dessas grandes empresas, com o objetivo de reportá-las para que sejam corrigidas. Este tipo de trabalho exige muito conhecimento e leva tempo, logo não é feito gratuitamente.

Por isso a maioria das grandes empresas de tecnologia possui um programa de recompensas, pagando hackers éticos que tenham encontrado e reportado problemas de segurança nos seus sistemas.

Os valores variam bastante dependendo da empresa e da gravidade do problema reportado, mas a Apple, por exemplo, pode pagar até US$ 1 milhão para falhas mais graves.

As empresas não possuem estes programas de recompensas apenas porque gostam de recompensar os hackers pelo seu trabalho. Existe um motivo muito mais importante por trás da existência deles: concorrência.

Essa concorrência vem por parte do chamado "mercado cinza" de venda de vulnerabilidades.

Para exemplificar, um furo de segurança que seja capaz de infectar um iPhone remotamente sem intervenção do usuário pode valer vários milhões de dólares nesse mercado, já que geralmente quem os compra são governos ou empresas como a NSO Group, responsável pelo malware Pegasus, sobre o qual comentei recentemente.

Considerando o dano que pode ser causado caso essas falhas caiam nas mãos erradas, as empresas preferem oferecer recompensas em dinheiro para incentivar os hackers a reportarem os problemas diretamente, no lugar de vendê-los no mercado cinza para que sejam usados contra seus usuários.

Falando especificamente da Apple, parece que a empresa não conseguiu implementar muito bem seu programa de recompensas.

Iniciado em 2016 —muito depois de outras empresas grandes—,o programa começou de forma tímida, sendo que só eram elegíveis a pagamento alguns pesquisadores que já possuíam um histórico e relacionamento com a Apple.

Em 2019, foi expandido para que qualquer hacker ético fosse elegível ao pagamento, desde que reportasse uma vulnerabilidade que estivesse dentro do programa.

Exemplos de vulnerabilidades que se encaixam no programa de recompensas da Apple incluem acesso a dados sensíveis (GPS, por exemplo) sem a permissão do usuário (até US$ 100 mil) e a possibilidade de executar código no kernel do sistema através de um app (até US$ 150 mil).

O problema é que, ao menos segundo diversos pesquisadores em entrevista recente para o Washington Post, a Apple tem gerenciado muito mal o seu programa de recompensas. Os hackers reclamam principalmente da falta de comunicação, demora para a correção dos problemas relatados e demora para a realização do pagamento.

Em alguns casos, problemas são reportados e reconhecidos pelo time de segurança da Apple, corrigidos em atualizações dos sistemas operacionais sem nenhum tipo de contato futuro com o hacker para creditá-lo pela descoberta ou realizar o pagamento da recompensa.

Além disso, a cultura da Apple de manter tudo sempre em segredo e de não falar muito publicamente sobre problemas acaba prejudicando o trabalho dos pesquisadores de segurança, já que a comunicação com a empresa e o acesso a recursos que facilitem a pesquisa são essenciais para um trabalho bem executado.

Outras empresas grandes participam e até mesmo organizam conferências para hackers éticos, incentivando a comunicação de problemas e realizando o pagamento de recompensas rapidamente.

Por outro lado, a Apple só paga a recompensa quando a vulnerabilidade reportada está dentro de algumas poucas categorias que a empresa publica em seu site, sendo extremamente criteriosa antes de aceitar um relato para o programa.

Em entrevista ao Washington Post, Ivan Krstic, líder do time de segurança da Apple, afirmou que a empresa está ouvindo o feedback dos pesquisadores e trabalhando muito para corrigir seus erros e melhorar o programa.

Segundo funcionários da Apple que preferem permanece anônimos, a Apple teria contratado este ano um novo líder para cuidar especificamente do seu programa de recompensas.

É extremamente importante que a empresa consiga melhorar seu programa de recompensas e sua comunicação com a comunidade global de segurança da informação de um modo geral.

Caso isso não aconteça, todo o trabalho que a Apple teve para tornar seus dispositivos e sistemas mais seguros pode acabar indo por água abaixo.